Red Canary 警告 Raspberry Robin 恶意软件会通过 USB 驱动器实现传播

Red Canary 安全研究人员刚刚揭示了一款攻击企业的“Raspberry Robin”恶意软件，可知该蠕虫病毒会通过被感染的外部硬盘驱动器而感染 Windows PC 。其实早在 2021 年 11 月，网络安全情报公司 Sekoia 就已经曝光过被“Raspberry Robin”所利用的“QNAP 蠕虫”。但自 9 月以来，Red Canary 在某些技术与制造商客户的网络中对其展开了持续的跟踪。

http://hackernews.cc/wp-content/uploads/2022/05/45c00fa265ed397-561x600.png

（来自：Red Canary 官网）

除了潜藏旗下的恶意软件性质，我们尚不清楚“Raspberry Robin”恶意软件的后期实际工作目的。

http://hackernews.cc/wp-content/uploads/2022/05/80b3d2f44df71c1-600x168.jpg

攻击流程图

当用户将受感染的 USB 驱动器连接到他们的计算机时，Raspberry Robin 就会在暗地里开启传播。

http://hackernews.cc/wp-content/uploads/2022/05/77c958d4b5f676e-600x285.jpg

利用 ROT13.lnk 文件来修改注册表

该蠕虫会将自己伪装成 .lnk 快捷方式文件，然后调用 Windows 命令提示符（cmd.exe）来启动恶意软件。

http://hackernews.cc/wp-content/uploads/2022/05/897f5979b1cace9-600x137.jpg

Raspberry Robin 的 cmd.exe 命令

接着它会利用微软标准安装程序（MSIexec.exe）连接到远程的命令与控制（C2）服务器 —— 通常是易受攻击的 QNAP 设备 —— 以通过后者的出口节点来洗清攻击者的确切网络痕迹。

http://hackernews.cc/wp-content/uploads/2022/05/a969da9497b541b-600x187.jpg

引用设备名称的混合大小写命令

http://hackernews.cc/wp-content/uploads/2022/05/b72be4f93e27574-600x183.jpg

Red Canary 推测，Raspberry Robin 会通过从 C2 服务器安装恶意的动态链接库（DLL）文件，以维持长期潜伏状态。

http://hackernews.cc/wp-content/uploads/2022/05/013c3ee11366a69-1-600x123.jpg

Raspberry Robin 的恶意 msiexec.exe 命令

然后该恶意软件会利用 Windows 中包含的两个实用程序来调用 DLL —— 其中 Windows 设置管理器（fodhelper）旨在绕过用户账户控制（UAC），而 ODBC 驱动程序配置工具（odbcconf）则用于执行与配置 DLL 。

http://hackernews.cc/wp-content/uploads/2022/05/1f5db58bb0e9082-600x249.jpg

恶意 rundll32.exe 命令

不过安全研究人员承认这只是一个可行的假设，当前他们尚不明确相关 DLL 的作用、也未搞清楚该恶意软件是如何利用 USB 驱动器实现传播的。

转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1267401.htm

封面来源于网络，如有侵权请联系删除