高危Windows蠕蟲已感染數百家企業

上周末，微軟披露在多個行業的數百家企業的網絡中發現了一種Windows蠕蟲病毒。

該蠕蟲（Raspberry Robin）是Red Canary的網絡安全研究人員發現的一種Windows蠕蟲病毒，該惡意軟件通過可移動USB設備傳播。

Raspberry Robin使用Windows Installer訪問與QNAP關聯的域并下載惡意DLL。該惡意軟件使用TOR出口節點作為備份C2基礎設施。

Raspberry Robin于2021年9月首次被發現，專家觀察到其主要針對技術和制造業的企業。初始訪問通常是通過受感染的可移動驅動器，通常是USB設備。

Raspberry Robin主要通過受感染的可移動驅動器（USB設備）引入的，通常以快捷方式.lnk文件的形式出現，偽裝成受感染USB設備上的合法文件夾。在受Raspberry Robin感染的驅動器連接到系統后不久，UserAssist注冊表項就會更新，并在破譯時記錄引用.lnk文件的ROT13加密值的執行。在下面的示例中，q:\erpbirel.yax解密為d:\recovery.lnk。

該惡意軟件使用cmd.exe讀取并執行存儲在受感染外部驅動器上的文件，它利用msiexec.exe與用作C2的流氓域進行外部網絡通信，以下載和安裝DLL庫文件。

然后msiexec.exe啟動一個合法的Windows實用程序fodhelper.exe，該實用程序又運行rundll32.exe來執行惡意命令。專家指出，由fodhelper.exe啟動的進程以提升的管理權限運行，無需用戶帳戶控制提示。

根據研究人員的說法，通過搜索其父進程fodhelper.exe可以檢測到威脅。

微軟已經證實，該蠕蟲病毒已經在多個客戶的網絡上發現的，包括技術和制造業企業。據BleepingComputer報道，微軟已通過Microsoft Defender for Endpoint向客戶發送私人威脅情報警報。微軟已將該蠕蟲的活動標記為高風險，因為攻擊者可以在受害者的網絡中下載和部署額外的惡意軟件并隨時提升他們的權限。

文章來源：GoUpSec