Red Canary 安全研究人員剛剛揭示了一款攻擊企業的“Raspberry Robin”惡意軟件，可知該蠕蟲病毒會通過被感染的外部硬盤驅動器而感染Windows PC 。其實早在2021 年11 月，網絡安全情報公司Sekoia 就已經曝光過被“Raspberry Robin”所利用的“QNAP 蠕蟲”。但自9 月以來，Red Canary 在某些技術與製造商客戶的網絡中對其展開了持續的跟踪。

（來自：Red Canary官網）

除了潛藏旗下的惡意軟件性質，我們尚不清楚“Raspberry Robin”惡意軟件的後期實際工作目的。

攻擊流程圖

當用戶將受感染的USB 驅動器連接到他們的計算機時，Raspberry Robin 就會在暗地裡開啟傳播。

利用ROT13.lnk 文件來修改註冊表

該蠕蟲會將自己偽裝成.lnk 快捷方式文件，然後調用Windows命令提示符（cmd.exe）來啟動惡意軟件。

Raspberry Robin 的cmd.exe 命令

接著它會利用微軟標準安裝程序（MSI exec.exe）連接到遠程的命令與控制（C2）服務器—— 通常是易受攻擊的QNAP 設備—— 以通過後者的出口節點來洗清攻擊者的確切網絡痕跡。

引用設備名稱的混合大小寫命令

Red Canary 推測，Raspberry Robin 會通過從C2 服務器安裝惡意的動態鏈接庫（DLL）文件，以維持長期潛伏狀態。

Raspberry Robin 的惡意msiexec.exe 命令

然後該惡意軟件會利用Windows 中包含的兩個實用程序來調用DLL —— 其中Windows 設置管理器（fodhelper）旨在繞過用戶賬戶控制（UAC），而ODBC 驅動程序配置工具（odbcconf）則用於執行與配置DLL 。

惡意rundll32.exe 命令

不過安全研究人員承認這只是一個可行的假設，當前他們尚不明確相關DLL 的作用、也未搞清楚該惡意軟件是如何利用USB 驅動器實現傳播的。