據(jù)Bleeping Computer網(wǎng)站7月2日消息，微軟最近在來自各個行業(yè)的數(shù)百家組織網(wǎng)絡(luò)中發(fā)現(xiàn)了蠕蟲病毒——Raspberry Robin（樹莓知更鳥）。

Raspberry Robin主要針對Windows系統(tǒng)，通過受感染的 USB 設(shè)備傳播。Red Canary 情報分析師于 2021 年 9 月首次發(fā)現(xiàn)該惡意軟件，而此次微軟的發(fā)現(xiàn)與Red Canary幾乎一致，該團隊還在多個客戶的網(wǎng)絡(luò)上檢測到了這種蠕蟲病毒，其中一些客戶來自技術(shù)和制造業(yè)。

盡管微軟觀察到惡意軟件連接到 Tor 網(wǎng)絡(luò)地址，但攻擊者尚未利用他們所獲得的受害者網(wǎng)絡(luò)訪問權(quán)限對其發(fā)動實質(zhì)性攻擊，由于Raspberry Robin可以使用合法的 Windows 工具繞過受感染系統(tǒng)上的用戶帳戶控制 (UAC)，要進行攻擊可謂輕而易舉。

對于具體的攻擊進程，Raspberry Robin 通過包含惡意 .LNK 文件的受感染 USB設(shè)備傳播至其他Windows系統(tǒng)設(shè)備，用戶一旦連接了USB設(shè)備，該蠕蟲病毒就會使用 cmd.exe 生成一個 msiexec 進程來啟動存儲在受感染設(shè)備上的惡意文件。在感染新的設(shè)備之后，Raspberry Robin會與命令和控制服務(wù)器 (C2) 通信，并利用幾個合法的 Windows 實用程序執(zhí)行惡意負載，如fodhelper、msiexec和odbcconf，其中msiexec被用于下載并執(zhí)行合法的安裝程序包。

介于攻擊者可以在受害者的網(wǎng)絡(luò)中下載和部署額外的惡意軟件并隨時提升其的權(quán)限，微軟已經(jīng)將 Raspberry Robin的相關(guān)活動標記為高風險行為。