Red Canary 安全研究人員剛剛揭示了一款攻擊企業(yè)的“Raspberry Robin”惡意軟件，可知該蠕蟲病毒會通過被感染的外部硬盤驅(qū)動器而感染 Windows PC 。其實早在 2021 年 11 月，網(wǎng)絡(luò)安全情報公司 Sekoia 就已經(jīng)曝光過被“Raspberry Robin”所利用的“QNAP 蠕蟲”。但自 9 月以來，Red Canary 在某些技術(shù)與制造商客戶的網(wǎng)絡(luò)中對其展開了持續(xù)的跟蹤。

（來自：Red Canary 官網(wǎng)）

除了潛藏旗下的惡意軟件性質(zhì)，我們尚不清楚“Raspberry Robin”惡意軟件的后期實際工作目的。

攻擊流程圖

當(dāng)用戶將受感染的 USB 驅(qū)動器連接到他們的計算機時，Raspberry Robin 就會在暗地里開啟傳播。

利用 ROT13.lnk 文件來修改注冊表

該蠕蟲會將自己偽裝成 .lnk 快捷方式文件，然后調(diào)用 Windows 命令提示符（cmd.exe）來啟動惡意軟件。

Raspberry Robin 的 cmd.exe 命令

接著它會利用微軟標(biāo)準(zhǔn)安裝程序（MSIexec.exe）連接到遠(yuǎn)程的命令與控制（C2）服務(wù)器 —— 通常是易受攻擊的 QNAP 設(shè)備 —— 以通過后者的出口節(jié)點來洗清攻擊者的確切網(wǎng)絡(luò)痕跡。

引用設(shè)備名稱的混合大小寫命令

Red Canary 推測，Raspberry Robin 會通過從 C2 服務(wù)器安裝惡意的動態(tài)鏈接庫（DLL）文件，以維持長期潛伏狀態(tài)。

Raspberry Robin 的惡意 msiexec.exe 命令

然后該惡意軟件會利用 Windows 中包含的兩個實用程序來調(diào)用 DLL —— 其中 Windows 設(shè)置管理器（fodhelper）旨在繞過用戶賬戶控制（UAC），而 ODBC 驅(qū)動程序配置工具（odbcconf）則用于執(zhí)行與配置 DLL 。

惡意 rundll32.exe 命令

不過安全研究人員承認(rèn)這只是一個可行的假設(shè)，當(dāng)前他們尚不明確相關(guān) DLL 的作用、也未搞清楚該惡意軟件是如何利用 USB 驅(qū)動器實現(xiàn)傳播的。

（舉報）