IBMは9月1日(米国時間)、「Raspberry Robin and Dridex: Two Birds of a Feather」において、Evil CorpがRaspberry Robinインフラストラクチャを用いて攻撃を実行している可能性が高いと伝えた。IBMのセキュリティ研究者が、Raspberry RobinとDridexマルウェアローダを比較分析し、両者の構造と機能が類似していることが明らかとなった。
Dridexは、銀行を標的に開発されたマルウェアでロシアのサイバー犯罪者グループであるEvil Corpによって開発されたものとされている。Raspberry Robinは.lnkファイルを悪用して感染する、Windowsネットワークを標的としたワーム型マルウェア。QNAPワームとも呼ばれており、サイバーセキュリティベンダーのRed Canaryによって分析されている(参考「QNAPを悪用するワーム型マルウェアに注意 | TECH+(テックプラス)」)。
Red Canaryに分析されたRaspberry Robinはこれまで誰に開発されたマルウェアか特定されておらず、最終的な目的が謎とされていた。しかしながら、IBMのセキュリティ研究者の調査により、Raspberry RobinのローダとDridexのローダの両コンポーネントに同じアンチ解析コードが組み込まれ、類似の方法で最終ペイロードをデコードするという機能および構造の重複があることが確認された。そのため、同セキュリティ研究者はEvil CorpがRaspberry Robinを使用し、サイバー攻撃を実行している可能性が高いと推測している。
IBMはRaspberry Robinの感染を防ぐため、セキュリティ意識向上トレーニングの実施やUSBデバイスの接続の無効または監視、Windowsの設定でUSBデバイス接続時の自動実行機能を無効にすることなど、緩和策を行うよう推奨している。