微软将Raspberry Robin蠕虫与Clop勒索软件攻击关联

阅读量229156

发布时间 : 2022-10-28 10:15:41

微软表示,一个被追踪为DEV-0950的威胁组织使用 Clop 勒索软件来加密先前感染了Raspberry Robin 蠕虫的受害者网络。

据悉,DEV-0950 恶意活动与追踪为FIN11和TA505的网络犯罪组织重叠,这些组织以在目标系统上部署Clop勒索软件而闻名。除了勒索软件,Raspberry Robin蠕虫还被用于将其他第二阶段的有效载荷投放到受感染的设备上,具体包括 IcedID、Bumblebee 和 Truebot。

安全分析师称,Raspberry Robin蠕虫通过恶意 .LNK 文件的BadUSB 设备传播到其他设备。连接BadUSB 设备并单击链接后,蠕虫将使用cmd.exe生成一个msiexec进程,以启动存储在受感染驱动器上的第二个恶意文件。在受感染的 Windows 设备上,它与其命令和控制服务器 (C2) 进行通信。在使用几个合法的 Windows 实用程序(fodhelper、msiexec 和 odbcconf)绕过受感染系统上的用户帐户控制 (UAC) 后,它还提供和执行额外的有效负载。[阅读原文]

本文由安全客原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/282249

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66