研究人员警告：“Raspberry Robin”或正通过外部驱动传播

近日，网络安全研究人员发现了一种新型Windows恶意软件，其具有类似蠕虫的功能，而且通过可移动USB设备进行传播。

安全机构Red Canary的研究人员将该恶意软件归于名为“Raspberry Robin”（树莓知更鸟）的集群，并指出它“利用 Windows Installer 访问与QNAP相关的域并下载恶意DLL。”

据研究人员透露，发现这个恶意软件的活动迹象最早可以追溯到2021年9月，当时是在与技术和制造业有关的组织机构中观察到有感染现象。

与Raspberry Robin相关的攻击链是从将受感染的USB驱动器连接到Windows机器开始的，在设备中出现的是蠕虫有效载荷，它以.lnk快捷方式文件的形式出现在合法文件夹中。然后，蠕虫会使用cmd.exe生成一个新的进程来读取和执行存储在外部驱动器上的恶意文件。紧接着会启动explorer.exe和msiexc.exe，后者用于外部网络通信到流氓域，以实现命令和控制（C2）的目的，并下载和安装DLL库文件。最后，恶意DLL被使用一系列合法的Windows实用程序加载和执行，如fodhelper.exe、rundll32.exe到rundll32.exe和odbcconf.exe，从而有效地绕过用户帐户控制（UAC）。

值得一提的是，在Raspberry Robin检测中，outbound C2关联非常常见，通常涉及到与Tor节点关联的IP地址进程regsvr32.exe、rundll32.exe和dllhost.exe。

时至今日，研究人员尚不清楚攻击者的动机是什么。另外，研究人员也在努力弄清外部硬盘是如何以及在哪里被感染的，但就目前的推测而言，离线感染的可能性比较大。

对此，研究人员表示:“我们也不知道为什么Raspberry Robin会安装恶意DLL。我们提出了一种假设：它可能试图在受感染的系统上长期存在下去。”

参考来源：

本文作者：LouisJack， 转载请注明来自FreeBuf.COM