Исследователь IBM Security X-Force Кевин Хенсон обнаружил, что российские хакеры используют инфраструктуру Raspberry Robin для проведения своих атак, и этот факт укрепил мнение о наличии связи группировки Evil Corp. с вредоносными программами, сообщил the Hacker News 2 сентября 2022 года.
Dridex (или Bugat, или Cridex) — продукт, написанный хакерами Evil Corp. Он относится к финансовому трояну, предоставляющему возможность кражи информации, развертывания дополнительных вредоносных инструментов, таких как программы-вымогатели, и порабощения скомпрометированных компьютеров Windows в ботнет.
Raspberry Robin, также известный как QNAP Worm, впервые обнаружен компанией Red Canary в сентябре 2021 года. Долгое время вредоносное программное обеспечение оставалось загадкой, поскольку использовалось нечасто.
«Загрузчики Raspberry Robin — это библиотеки DLL, которые декодируют и выполняют промежуточный загрузчик», — объяснил исследователь. «Промежуточный загрузчик выполняет обнаружение ловушек в качестве метода антианализа, декодирует свои строки во время выполнения, а затем декодирует сильно запутанную DLL, назначение которой не определено».
Ситуация с Robin изменилась в июле 2022 года, когда Microsoft обнаружила FakeUpdates (или SocGholish), которое доставлялось через существующие инструменты Raspberry Robin. К тому же были выявлены потенциальные связи между DEV-0206 и DEV-0243 (или Evil Corp).
Ранее Интернет-журнал «LinDeal.com» рассказал о том, что хакеры взломали компьютерную сеть итальянского нефтяного гиганта Eni.