微软已在数百个网络中发现Raspberry Robin蠕虫

据Bleeping Computer网站7月2日消息，微软最近在来自各个行业的数百家组织网络中发现了蠕虫病毒——Raspberry Robin（树莓知更鸟）。

Raspberry Robin主要针对Windows系统，通过受感染的 USB 设备传播。Red Canary 情报分析师于 2021 年 9 月首次发现该恶意软件，而此次微软的发现与Red Canary几乎一致，该团队还在多个客户的网络上检测到了这种蠕虫病毒，其中一些客户来自技术和制造业。

尽管微软观察到恶意软件连接到 Tor 网络地址，但攻击者尚未利用他们所获得的受害者网络访问权限对其发动实质性攻击，由于Raspberry Robin可以使用合法的 Windows 工具绕过受感染系统上的用户帐户控制 (UAC)，要进行攻击可谓轻而易举。

对于具体的攻击进程，Raspberry Robin 通过包含恶意 .LNK 文件的受感染 USB设备传播至其他Windows系统设备，用户一旦连接了USB设备，该蠕虫病毒就会使用 cmd.exe 生成一个 msiexec 进程来启动存储在受感染设备上的恶意文件。在感染新的设备之后，Raspberry Robin会与命令和控制服务器 (C2) 通信，并利用几个合法的 Windows 实用程序执行恶意负载，如fodhelper、msiexec和odbcconf，其中msiexec被用于下载并执行合法的安装程序包。

介于攻击者可以在受害者的网络中下载和部署额外的恶意软件并随时提升其的权限，微软已经将 Raspberry Robin的相关活动标记为高风险行为。

参考来源：

https://www.bleepingcomputer.com/news/security/microsoft-finds-raspberry-robin-worm-in-hundreds-of-windows-networks/