近日，網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一種新型Windows惡意軟件，其具有類似蠕蟲的功能，而且通過(guò)可移動(dòng)USB設(shè)備進(jìn)行傳播。

安全機(jī)構(gòu)Red Canary的研究人員將該惡意軟件歸于名為“Raspberry Robin”(樹莓知更鳥)的集群，并指出它“利用 Windows Installer 訪問(wèn)與QNAP相關(guān)的域并下載惡意DLL?！?/p>

據(jù)研究人員透露，發(fā)現(xiàn)這個(gè)惡意軟件的活動(dòng)跡象最早可以追溯到2021年9月，當(dāng)時(shí)是在與技術(shù)和制造業(yè)有關(guān)的組織機(jī)構(gòu)中觀察到有感染現(xiàn)象。

與Raspberry Robin相關(guān)的攻擊鏈?zhǔn)菑膶⑹芨腥镜腢SB驅(qū)動(dòng)器連接到Windows機(jī)器開始的，在設(shè)備中出現(xiàn)的是蠕蟲有效載荷，它以.lnk快捷方式文件的形式出現(xiàn)在合法文件夾中。然后，蠕蟲會(huì)使用cmd.exe生成一個(gè)新的進(jìn)程來(lái)讀取和執(zhí)行存儲(chǔ)在部驅(qū)動(dòng)器上的惡意文件。緊接著會(huì)啟動(dòng)explorer.exe和msiexc.exe，后者用于外部網(wǎng)絡(luò)通信到流氓域，以實(shí)現(xiàn)命令和控制(C2)的目的，并下載和安裝DLL庫(kù)文件。最后，惡意DLL被使用一系列合法的Windows實(shí)用程序加載和執(zhí)行，如fodhelper.exe、rundll32.exe到rundll32.exe和odbcconf.exe，從而有效地繞過(guò)用戶帳戶控制(UAC)。

值得一提的是，在Raspberry Robin檢測(cè)中，outbound C2關(guān)聯(lián)非常常見(jiàn)，通常涉及到與Tor節(jié)點(diǎn)關(guān)聯(lián)的IP地址進(jìn)程regsvr32.exe、rundll32.exe和dllhost.exe。

時(shí)至今日，研究人員尚不清楚攻擊者的動(dòng)機(jī)是什么。另外，研究人員也在努力弄清外部硬盤是如何以及在哪里被感染的，但就目前的推測(cè)而言，離線感染的可能性比較大。

對(duì)此，研究人員表示:“我們也不知道為什么Raspberry Robin會(huì)安裝惡意DLL。我們提出了一種假設(shè)：它可能試圖在受感染的系統(tǒng)上長(zhǎng)期存在下去?！?/p>