微软警告：FakeUpdates恶意软件与EvilCorp关联

关键要点

• 微软报告指出，FakeUpdates恶意软件与EvilCorp威胁集团有关。
• FakeUpdates通过现有的Raspberry Robin感染进行传播。
• EvilCorp因其与俄罗斯间谍活动和重大欺诈计划的关联而臭名昭著。
• 该恶意软件的传播令人担忧，因许多受害者受到影响。

微软本周披露，FakeUpdates恶意软件（被标记为DEV-0206）通过已经存在的感染进行分发。

在一篇中，微软解释称，Raspberry Robin是一种基于USB的蠕虫，最早由RedCanary公开讨论。受影响系统上的DEV-0206 FakeUpdates活动随后引发的后续行为类似于DEV-0243的预勒索行为。

这一发现具有重要性，因为DEV-0243被网络安全行业追踪为声名显赫的，该组织涉及许多重大诈骗计划，并与俄罗斯的间谍活动有关。

根据微软的说法，在DEV-0243与DEV-0206的初步合作中，该组织部署了一种名为的定制勒索病毒负载，并扩展到内部开发的额外DEV-0243勒索病毒负载，例如PhoenixLocker和Macaw。

这种所谓的合作关系引发了严重的担忧，因为有大量受害者感染了“Raspberry Robin”蠕虫。数字阴影（DigitalShadows）的高级网络威胁情报分析师Nicole Hoffman表示，这种RaspberryRobin活动在此之前显得相当奇怪，因为尽管多个设备遭到感染，给攻击者提供了远程访问，却未被进一步利用。

Hoffman指出：“通常，在以财务为动机的攻击中，会有某种次级阶段，例如数据外泄或勒索病毒。当访问权限长时间保持持久时，更可能显示出网络间谍活动的特征。因此，看到EvilCorp利用这种访问权限令人担忧，考虑到该集团已经受到制裁。尽管支付赎金从来不被鼓励，但这终究是一个商业决定。不过，面对EvilCorp的攻击，这对组织而言真的就是一个两难的局面。”

Vulcan Cyber的高级技术工程师MikeParkin表示，威胁行为者已经与罪犯、国家和得到国家支持的行为者等形成了自己的生态系统，相互配合以实现目标。Parkin表示，他们遵循着与我们在合法世界中相同的商业模式，稍作调整以适应纯粹犯罪企业的背景。

他补充道：“正如网络安全公司专注于特定领域，并与其他公司合作以提供完整的解决方案（如资产管理、漏洞扫描和风险管理工具的协作），威胁行为者也一样。他们是专业人士——邪恶的专业人士——但终究仍是专业人士。”