微软指出,许多科技业及制造业等顾客网络发现raspberry robin(树莓知更鸟)的windows蠕虫,基本通过受感染usb设备散播,虽然微软也观察到恶意软件连接到洋葱网络(tor network)服务一些网络地址,但威胁发动者尚未利用取得权限访问受害者网络。有鉴于恶意软件能通过合法windows工具规避受感染系统用户账号控制(user account control,uac)功能,所以可轻易扩大攻击规模。
raspberry robin蠕虫是由侦测及应变托管服务供应商red canary旗下网安情报分析师先在2021年9月发现。接着去年11月初,网络安全公司sekoia观察到恶意软件将qnap nas设备劫持当成主控服务器(c&c server或c2 server),微软则发现与蠕虫有关且于2019年创建的恶意源码。
就传播途径而言,raspberry robin蠕虫会通过含恶意 .lnk档的感染usbu盘散播至新windows系统。一旦用户将受感染usbu盘插入计算机并点击连接,蠕虫会触发msiexec程序,使用cmd.exe启动u盘的恶意文件。
接着它会感染新windows设备,与自己c2主控服务器通信,并通过fodhelper及msiexec等许多合法windows工具软件执行恶意封包负载(payload)。虽然msiexec.exe档会下载并执行合法安装组件,但黑客也会通过它散播恶意软件。如raspberry robin蠕虫就会通过msiexec.exe尝试创建连接至恶意域名的外部网络通信,进而达到c2服务器远程控制目的。
截至目前,发现raspberry robin在网络四处散播的安全研究人员还未找到幕后黑手,但仍持续努力找出操控者的最终目标为何。有鉴于攻击者能在受害者网络下载及部署额外恶意软件,并随时提升自己的权限,微软已将raspberry robin相关恶意活动评为“高风险”。
(首图来源:youtube)