FakeUpdates恶意软件通过Raspberry Robin传播，可能与EvilCorp有关 媒

微软警告：FakeUpdates恶意软件与EvilCorp关联

关键要点

微软本周披露，FakeUpdates恶意软件被标记为DEV0206通过已经存在的Raspberry Robin感染进行分发。

在一篇博客文章中，微软解释称，Raspberry Robin是一种基于USB的蠕虫，最早由Red Canary公开讨论。受影响系统上的DEV0206 FakeUpdates活动随后引发的后续行为类似于DEV0243的预勒索行为。

这一发现具有重要性，因为DEV0243被网络安全行业追踪为声名显赫的EvilCorp，该组织涉及许多重大诈骗计划，并与俄罗斯的间谍活动有关。

根据微软的说法，在DEV0243与DEV0206的初步合作中，该组织部署了一种名为WastedLocker的定制勒索病毒负载，并扩展到内部开发的额外DEV0243勒索病毒负载，例如PhoenixLocker和Macaw。

这种所谓的合作关系引发了严重的担忧，因为有大量受害者感染了“Raspberry Robin”蠕虫。数字阴影Digital Shadows的高级网络威胁情报分析师Nicole Hoffman表示，这种Raspberry Robin活动在此之前显得相当奇怪，因为尽管多个设备遭到感染，给攻击者提供了远程访问，却未被进一步利用。

Hoffman指出：“通常，在以财务为动机的攻击中，会有某种次级阶段，例如数据外泄或勒索病毒。当访问权限长时间保持持久时，更可能显示出网络间谍活动的特征。因此，看到EvilCorp利用这种访问权限令人担忧，考虑到该集团已经受到制裁。尽管支付赎金从来不被鼓励，但这终究是一个商业决定。不过，面对EvilCorp的攻击，这对组织而言真的就是一个两难的局面。”

Vulcan Cyber的高级技术工程师Mike Parkin表示，威胁行为者已经与罪犯、国家和得到国家支持的行为者等形成了自己的生态系统，相互配合以实现目标。Parkin表示，他们遵循着与我们在合法世界中相同的商业模式，稍作调整以适应纯粹犯罪企业的背景。

他补充道：“正如网络安全公司专注于特定领域，并与其他公司合作以提供完整的解决方案如资产管理、漏洞扫描和风险管理工具的协作，威胁行为者也一样。他们是专业人士邪恶的专业人士但终究仍是专业人士。”