Red Canary 安全研究人員剛剛揭示了一款攻擊企業的“Raspberry Robin”惡意軟件,可知該蠕蟲病毒會通過被感染的外部硬盤驅動器而感染 Windows PC 。其實早在 2021 年 11 月,網絡安全情報公司 Sekoia 就已經曝光過被“Raspberry Robin”所利用的“QNAP 蠕蟲”。但自 9 月以來,Red Canary 在某些技術與製造商客戶的網絡中對其展開了持續的跟蹤。
(來自:Red Canary 官網)
除了潛藏旗下的惡意軟件性質,我們尚不清楚“Raspberry Robin”惡意軟件的後期實際工作目的。
攻擊流程圖
當用戶將受感染的 USB 驅動器連接到他們的計算機時,Raspberry Robin 就會在暗地裡開啟傳播。
利用 ROT13.lnk 文件來修改註冊表
該蠕蟲會將自己偽裝成 .lnk 快捷方式文件,然後調用 Windows 命令提示符(cmd.exe)來啟動惡意軟件。
Raspberry Robin 的 cmd.exe 命令
接着它會利用微軟標準安裝程序(MSIexec.exe)連接到遠程的命令與控制(C2)服務器 —— 通常是易受攻擊的 QNAP 設備 —— 以通過後者的出口節點來洗清攻擊者的確切網絡痕迹。
引用設備名稱的混合大小寫命令
Red Canary 推測,Raspberry Robin 會通過從 C2 服務器安裝惡意的動態鏈接庫(DLL)文件,以維持長期潛伏狀態。
Raspberry Robin 的惡意 msiexec.exe 命令
然後該惡意軟件會利用 Windows 中包含的兩個實用程序來調用 DLL —— 其中 Windows 設置管理器(fodhelper)旨在繞過用戶賬戶控制(UAC),而 ODBC 驅動程序配置工具(odbcconf)則用於執行與配置 DLL 。
惡意 rundll32.exe 命令
不過安全研究人員承認這只是一個可行的假設,當前他們尚不明確相關 DLL 的作用、也未搞清楚該惡意軟件是如何利用 USB 驅動器實現傳播的。