新的蠕虫恶意软件通过USB攻击Windows设备

近日，Red Canary的网络安全研究人员发现了一种新的恶意软件正在攻击Windows设备，它通过受感染的USB驱动器离线传播。

研究人员没有命名这种特定的恶意软件，而是将其与他们命名为Raspberry Robin的“恶意活动集群”联系起来。

被称为Raspberry Robin的活动使用Microsoft标准安装程序和其他合法进程与威胁参与者通信并执行恶意命令。

Raspberry Robin蠕虫恶意软件

该恶意软件存在于属于技术和制造业组织的多个网络的不同端点中。研究人员发现，名为Raspberry Robin的蠕虫恶意软件自去年9月以来一直活跃，并通过USB驱动器蠕动到Windows计算机上，以使用Microsoft标准安装程序和其他合法进程安装恶意文件。

Red Canary Intelligence的研究人员在秋季开始跟踪恶意活动，它最初是由Red Canary检测工程团队的Jason Killam在多个客户环境中首次观察到的具有相似特征的少数检测。

Red Canary的Lauren Podber Stef Rand在周四发表的一篇博文中写道：“一旦蠕虫通过USB驱动器传播到某人的计算机，该活动依赖msiexec.exe调用其基础设施（通常由QNAP设备组成）使用包含受害者用户和设备名称的HTTP请求。”

研究人员还观察到Raspberry Robin使用TOR出口节点作为额外的命令和控制(C&C)基础设施。最终，蠕虫会安装在受感染USB上发现的恶意动态链接库(DLL)文件。

问题未完全解决

虽然研究人员早在2021年9月就首次注意到了Raspberry Robin，但Red Canary观察到的大部分活动发生在今年1月。尽管研究人员观察了恶意活动的各种过程和执行情况，但他们承认这些观察结果留下了许多悬而未决的问题。

研究人员表示，尽管这种感染很可能发生在线下或我们看不到的地方，但该团队还没有弄清楚Raspberry Robin是如何感染外部驱动器以保持其活动的。

他们也不知道为什么Raspberry Robin会安装恶意DLL，尽管他们认为这可能是试图在受感染的系统上建立持久性。尽管研究人员承认没有足够的证据证明这一点。

然而，研究人员表示，围绕该蠕虫的最大问号是其背后的威胁行为者的目标。

他们承认：“由于缺乏有关后期活动的额外信息，很难对这些活动的目标或目标做出推断。