微软指出,许多科技业及制造业等顾客网络发现Raspberry Robin(树莓知更鸟)的Windows蠕虫,基本通过受感染USB设备散播,虽然微软也观察到恶意软件连接到洋葱网络(Tor Network)服务一些网络地址,但威胁发动者尚未利用取得权限访问受害者网络。有鉴于恶意软件能通过合法Windows工具规避受感染系统用户账号控制(User Account Control,UAC)功能,所以可轻易扩大攻击规模。
Raspberry Robin蠕虫是由侦测及应变托管服务供应商Red Canary旗下网安情报分析师先在2021年9月发现。接着去年11月初,网络安全公司Sekoia观察到恶意软件将QNAP NAS设备劫持当成主控服务器(C&C Server或C2 Server),微软则发现与蠕虫有关且于2019年创建的恶意源码。
就传播途径而言,Raspberry Robin蠕虫会通过含恶意 .LNK档的感染USBU盘散播至新Windows系统。一旦用户将受感染USBU盘插入计算机并点击连接,蠕虫会触发msiexec程序,使用cmd.exe启动U盘的恶意文件。
接着它会感染新Windows设备,与自己C2主控服务器通信,并通过fodhelper及msiexec等许多合法Windows工具软件执行恶意封包负载(payload)。虽然msiexec.exe档会下载并执行合法安装组件,但黑客也会通过它散播恶意软件。如Raspberry Robin蠕虫就会通过msiexec.exe尝试创建连接至恶意域名的外部网络通信,进而达到C2服务器远程控制目的。
截至目前,发现Raspberry Robin在网络四处散播的安全研究人员还未找到幕后黑手,但仍持续努力找出操控者的最终目标为何。有鉴于攻击者能在受害者网络下载及部署额外恶意软件,并随时提升自己的权限,微软已将Raspberry Robin相关恶意活动评为“高风险”。
(首图来源:YouTube)