- 微软通过与其他恶意软件系列的链接以及其原始 USB 驱动器传播之外的替代感染方法来确定Raspberry Robin蠕虫。
- 当 Red Canary 于 2022 年 5 月首次报告它时,Raspberry Robin 已经从一种广泛分布的蠕虫进化而来,没有观察到感染后的行为。
- 微软观察到 Raspberry Robin 被用于归因于另一个攻击者 DEV-0950 的后妥协活动。
Microsoft指出了一项针对近 1,000 个组织中至少 3,000 台设备的广泛活动。微软宣布,该公司注意到一项活动,表明 Raspberry Robin 蠕虫是一个复杂且相互关联的恶意软件生态系统的一部分,它与其他恶意软件系列的链接以及其原始 USB 驱动器传播之外的替代感染方法。微软声称,这种感染可能会导致手动键盘攻击和人为操作的勒索软件活动。
勒索软件前活动
微软表示,该公司正在跟踪与 Raspberry Robin 相关的活动,这是一项非常活跃的操作。根据 Microsoft Defender for Endpoint 数据,近 1,000 个组织中的 3,000 台设备上个月至少遇到了一个与 Raspberry Robin 有效负载相关的警报。
自从 Red Canary 在 5 月报告它以来,Raspberry Robin 已经从一种广泛分布的蠕虫演变为最大的恶意软件分发平台之一,没有观察到感染后的行为。微软安全团队观察到感染了 Raspberry Robin 的用户安装了 FakeUpdates 恶意软件。它导致 DEV-0243 活动,这是一个与勒索软件相关的活动组,与其他供应商跟踪为 EvilCorp 的活动重叠,在 2021 年 11 月部署 LockBit 勒索软件即服务时观察到了这一点。从那时起,Raspberry Robin 还开始部署 IcedID、Bumblebee 和 Truebot。
Raspberry Robin 攻击涉及多阶段入侵。对于入侵后活动,它需要访问高特权凭据。当它第一次被发现时,它似乎没有任何目的,目的,现在它成为了最臭名昭著的攻击类型之一的推动者。Microsoft Defender for Endpoint 和 Microsoft Defender Antivirus检测 Raspberry Robin 和本博客中描述的后续活动。防御者还可以应用以下缓解措施来减少这种威胁的影响:
- 防止驱动器在插入或挂载时使用自动运行和执行代码。这可以通过注册表设置或组策略来完成。
- 遵循 Microsoft 的RaaS 博客文章中的防御勒索软件指南。
- 启用篡改保护以防止攻击停止或干扰 Microsoft Defender 防病毒。
- 在 Microsoft Defender 防病毒软件或防病毒产品的等效产品中打开云提供的保护,以涵盖快速发展的攻击者工具和技术。基于云的机器学习保护阻止了绝大多数新的和未知的变体。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 微软就针对组织的Raspberry Robin蠕虫发出警告
