研究人員發現，被稱為Raspberry Robin的蠕蟲惡意軟件自去年9月以來就一直處于活躍狀態，并正在通過USB驅動器“蠕動”到Windows機器上，進而可以使用Microsoft Standard Installer和其他合法流程來安裝惡意文件。

Red Canary Intelligence的研究人員在秋季首次開始跟蹤這一惡意活動。這一惡意活動最初是由Red Canary檢測工程團隊的Jason Killam在多個具有類似特征的客戶環境中進行檢測時首次發現的。

Red Canary的Lauren Podber和Stef Rand在周四發表的一篇博客文章中寫道，蠕蟲病毒一旦通過USB驅動器傳播到使用者的機器中，該病毒就會依賴msiexec.exe調用使用者機器中的基礎設施——該基礎設施通常由QNAP設備組成——使用包含受害者用戶和設備名稱的HTTP請求。他們寫道，研究人員還觀察到Raspberry Robin使用TOR退出節點作為額外的命令和控制（C&C）基礎設施。最終，蠕蟲病毒會安裝在受感染的USB上，并找到惡意動態鏈接庫（DLL）文件。研究人員還表示，雖然研究人員最早在2021年9月就首次注意到Raspberry Robin病毒，但研究人員觀察到的其大部分活動發生在今年1月。 

未回答的問題

盡管研究人員通過觀察發現了該惡意活動各種過程和執行，但他們也承認這些觀察依然留下了一些懸而未決的問題。研究人員表示，該團隊尚未弄清楚Raspberry Robin病毒如何或在哪里感染外部驅動器以使其活動永久化，盡管這種感染可能發生在離線狀態或“在其他可見度之外”。

研究人員承認，他們也不知道為什么Raspberry Robin能夠找到惡意動態鏈接庫，盡管他們認為這可能是試圖在受感染的系統上建立持久性，但是他們卻沒有足夠的證據來得出結論。然而，研究人員表示，圍繞蠕蟲的最大問號是其背后的威脅行為者的目標。他們承認：由于缺乏關于后期活動的額外信息，研究團隊很難對這些活動的目標或目的做出推斷。 

初始訪問和執行

研究人員表示，受感染的可移動驅動器——通常是USB設備——感染了Raspberry Robin蠕蟲病毒快捷LNK文件偽裝成受感染的USB設備上的合法文件夾。LNK文件是指向并用于打開另一個文件、文件夾或應用程序的Windows快捷方式。

受感染的驅動器連接到系統后不久，蠕蟲會更新UserAssist注冊表條目，并在破譯時記錄引用LNK文件的ROT13加密值進行執行。例如，研究人員寫道，他們觀察到q:\erpbirel.yax值被破譯為d:\recovery.lnk。研究人員表示，當Raspberry Robin使用cmd.exe讀取和執行存儲在受感染的外部驅動器上的文件時，執行就開始了。他們指出：到目前為止，該命令在我們看到的Raspberry Robin檢測中是一致的，使其成為潛在[蠕蟲]活動的可靠早期證據。

在下一階段執行中，cmd.exe通常會啟動explore.exe和msiexec.exe。研究人員表示，前者的命令行可以是外部設備的混合大小寫引用——一個人的名字，如LAUREN V；也可以是LNK文件的名稱。研究人員還補充說，蠕蟲在其命令中也廣泛使用混合大小寫字母，這種做法最有可能避免他們被發現。

次要執行

研究人員透露，Raspberry Robin推出的第二款可執行文件msiexec.exe，試圖將外部網絡通信到惡意域，用于達到命令和控制的目的。在研究人員觀察到的幾個活動示例中，蠕蟲使用msiexec.exe安裝了惡意DLL文件，盡管如前所述，他們仍然不確定DLL的目的是什么。他們還觀察到，蠕蟲使用msiexec.exe啟動合法的Windows實用程序fodhelper.exe，這反過來又催生rundll32.exe來執行惡意命令。

研究人員指出：fodhelper.exe啟動的流程具有更高的管理權限，而無需用戶帳戶控制提示。他們說，由于這對公用事業來說是一種不尋常且極具危險的行為，這項活動可用于檢測受感染機器上是否存在Raspberry Robin。研究人員表示，rundll32.exe命令然后啟動另一個合法的Windows實用程序-odbcconf.exe，并傳遞其他命令來執行和配置最近安裝的惡意DLL文件。