研究人員警吿：“Raspberry Robin”或正通過外部驅動傳播

近日，網絡安全研究人員發現了一種新型Windows惡意軟件，其具有類似蠕蟲的功能，而且通過可移動USB設備進行傳播。

安全機構Red Canary的研究人員將該惡意軟件歸於名為“Raspberry Robin”（樹莓知更鳥）的集羣，並指出它“利用 Windows Installer 訪問與QNAP相關的域並下載惡意DLL。”

據研究人員透露，發現這個惡意軟件的活動跡象最早可以追溯到2021年9月，當時是在與技術和製造業有關的組織機構中觀察到有感染現象。

與Raspberry Robin相關的攻擊鏈是從將受感染的USB驅動器連接到Windows機器開始的，在設備中出現的是蠕蟲有效載荷，它以.lnk快捷方式文件的形式出現在合法文件夾中。然後，蠕蟲會使用cmd.exe生成一個新的進程來讀取和執行存儲在部驅動器上的惡意文件。緊接着會啟動explorer.exe和msiexc.exe，後者用於外部網絡通信到流氓域，以實現命令和控制（C2）的目的，並下載和安裝DLL庫文件。最後，惡意DLL被使用一系列合法的Windows實用程序加載和執行，如fodhelper.exe、rundll32.exe到rundll32.exe和odbcconf.exe，從而有效地繞過用户帳户控制（UAC）。

值得一提的是，在Raspberry Robin檢測中，outbound C2關聯非常常見，通常涉及到與Tor節點關聯的IP地址進程regsvr32.exe、rundll32.exe和dllhost.exe。

時至今日，研究人員尚不清楚攻擊者的動機是什麼。另外，研究人員也在努力弄清外部硬盤是如何以及在哪裏被感染的，但就目前的推測而言，離線感染的可能性比較大。

對此，研究人員表示:“我們也不知道為什麼Raspberry Robin會安裝惡意DLL。我們提出了一種假設：它可能試圖在受感染的系統上長期存在下去。”

參考來源：

http://thehackernews.com/2022/05/researchers-warn-of-raspberry-robin.html