微軟已在數百個網絡中發現Raspberry Robin蠕蟲

據Bleeping Computer網站7月2日消息，微軟最近在來自各個行業的數百家組織網絡中發現了蠕蟲病毒——Raspberry Robin（樹莓知更鳥）。

Raspberry Robin主要針對Windows系統，通過受感染的 USB 設備傳播。Red Canary 情報分析師于 2021 年 9 月首次發現該惡意軟件，而此次微軟的發現與Red Canary幾乎一致，該團隊還在多個客戶的網絡上檢測到了這種蠕蟲病毒，其中一些客戶來自技術和制造業。

盡管微軟觀察到惡意軟件連接到 Tor 網絡地址，但攻擊者尚未利用他們所獲得的受害者網絡訪問權限對其發動實質性攻擊，由于Raspberry Robin可以使用合法的 Windows 工具繞過受感染系統上的用戶帳戶控制 (UAC)，要進行攻擊可謂輕而易舉。

對于具體的攻擊進程，Raspberry Robin 通過包含惡意 .LNK 文件的受感染 USB設備傳播至其他Windows系統設備，用戶一旦連接了USB設備，該蠕蟲病毒就會使用 cmd.exe 生成一個 msiexec 進程來啟動存儲在受感染設備上的惡意文件。在感染新的設備之后，Raspberry Robin會與命令和控制服務器 (C2) 通信，并利用幾個合法的 Windows 實用程序執行惡意負載，如fodhelper、msiexec和odbcconf，其中msiexec被用于下載并執行合法的安裝程序包。

介于攻擊者可以在受害者的網絡中下載和部署額外的惡意軟件并隨時提升其的權限，微軟已經將 Raspberry Robin的相關活動標記為高風險行為。

參考來源：

https://www.bleepingcomputer.com/news/security/microsoft-finds-raspberry-robin-worm-in-hundreds-of-windows-networks/