新证据表明树莓罗宾恶意软件与Dridex和俄罗斯邪恶公司黑客有关

研究人员发现了树莓罗宾感染链中使用的恶意组件与Dridex恶意软件加载程序之间的功能相似性，进一步加强了运营商与俄罗斯邪恶集团的联系。

IBM安全X-Force研究员凯文·亨森（Kevin Henson）在周四的一份分析中表示，调查结果表明，“邪恶公司可能利用树莓罗宾基础设施实施攻击”。

树莓罗宾（又名QNAP蠕虫）是网络安全公司红金丝雀于2021首次发现的，近一年来一直是个谜，部分原因是野生环境中明显缺乏开发后活动。

这种情况在2022年7月发生了变化，当时微软透露，它发现了通过现有的树莓罗宾感染传播的伪造更新（又名SocGholish）恶意软件，在DEV-0206和DEV-0243（又名邪恶公司）之间发现了潜在的连接。

已知恶意软件是通过包含恶意.LNK文件的受感染USB设备从受损系统传送到目标网络中的其他设备。Windows快捷方式文件旨在从远程服务器检索恶意DLL。

“复盆子罗宾加载器是DLL，解码并执行中间加载器，”亨森说。中间加载程序执行钩子检测作为一种反分析技术，在运行时解码其字符串，然后解码一个高度模糊的DLL，其目的尚未确定

此外，IBM Security X-Force对32位Raspberry Robin加载器和64位Dridex加载器的比较分析发现了功能和结构上的重叠，两个组件都包含类似的反分析代码，并以类似的方式解码最终有效载荷。

Dridex（又名Bugat或Cridex）是邪恶公司的手工制作，指的是一种银行特洛伊木马，具有窃取信息、部署勒索软件等其他恶意软件以及将受损的Windows机器奴役到僵尸网络的能力。

为了减轻树莓罗宾感染，建议组织监控USB设备连接，并在Windows操作系统设置中禁用自动运行功能。