微軟指出,許多科技業及製造業等顧客網路發現 Raspberry Robin(樹莓知更鳥)的 Windows 蠕蟲,基本透過受感染 USB 裝置散播,雖然微軟也觀察到惡意軟體連結到洋蔥網路(Tor Network)服務一些網路位址,但威脅發動者尚未利用取得權限存取受害者網路。有鑑於惡意軟體能透過合法 Windows 工具規避受感染系統使用者帳號控制(User Account Control,UAC)功能,所以可輕易擴大攻擊規模。
Raspberry Robin 蠕蟲是由偵測及應變代管服務供應商 Red Canary 旗下網安情報分析師先在 2021 年 9 月發現。接著去年 11 月初,網路安全公司 Sekoia 觀察到惡意軟體將 QNAP NAS 設備劫持當成主控伺服器(C&C Server 或 C2 Server),微軟則發現與蠕蟲有關且於 2019 年建立的惡意原始碼。
就傳播途徑而言,Raspberry Robin 蠕蟲會透過含惡意 .LNK 檔的感染 USB 隨身碟散播至新 Windows 系統。一旦使用者將受感染 USB 隨身碟插入電腦並點擊連結,蠕蟲會觸發 msiexec 程序,使用 cmd.exe 啟動隨身碟的惡意檔案。
接著它會感染新 Windows 裝置,與自己 C2 主控伺服器通訊,並透過 fodhelper 及 msiexec 等許多合法 Windows 工具軟體執行惡意封包負載(payload)。雖然 msiexec.exe 檔會下載並執行合法安裝套件,但駭客也會透過它散播惡意軟體。如 Raspberry Robin 蠕蟲就會透過 msiexec.exe 嘗試建立連線至惡意網域的外部網路通訊,進而達到 C2 伺服器遠端控制目的。
截至目前,發現 Raspberry Robin 在網路四處散播的安全研究人員還未找到幕後黑手,但仍持續努力找出操控者的最終目標為何。有鑑於攻擊者能在受害者網路下載及部署額外惡意軟體,並隨時提升自己的權限,微軟已將 Raspberry Robin 相關惡意活動評為「高風險」。
(首圖來源:YouTube)
科技新報粉絲團
加入好友
訂閱免費電子報
