Red Canary 情报分析师发现了一种具有蠕虫功能的新型 Windows 恶意软件，该恶意软件使用外部 USB 驱动器进行传播。

该恶意软件与一组名为 Raspberry Robin 的 恶意活动相关联， 并于 2021 年 9 月首次被发现。

Red Canary 的检测工程团队在多个客户的网络中检测到该蠕虫，其中一些在技术和制造领域。

当连接包含恶意 .LNK 文件的受感染 USB 驱动器时，Raspberry Robin 会传播到新的 Windows 系统。

附加后，蠕虫会使用 cmd.exe 生成一个新进程，以启动存储在受感染驱动器上的恶意文件。

滥用 Windows 合法工具安装恶意软件
它使用 Microsoft 标准安装程序 (msiexec.exe) 来访问其命令和控制 (C2) 服务器，这些服务器可能托管在受感染的 QNAP 设备上，并使用 TOR 出口节点作为额外的 C2 基础设施。

“虽然 msiexec.exe 下载并执行合法的安装程序包，但攻击者也利用它来传播恶意软件，”研究人员 说。

“Raspberry Robin 使用 msiexec.exe 尝试与恶意域进行外部网络通信，以实现 C2 目的。”

虽然他们还没有发现它是否建立持久性以及通过哪些方法，但他们怀疑恶意软件会在受感染的机器上安装恶意 DLL 文件 [ 1 , 2 ] 以抵抗重新启动之间的删除。

Raspberry Robin 在其他两个合法 Windows 实用程序的帮助下启动此 DLL：fodhelper（用于管理 Windows 设置中的功能的受信任二进制文件）和 odbcconf（用于配置 ODBC 驱动程序的工具）。

第一个允许它绕过用户帐户控制 (UAC)，而第二个将帮助执行和配置 DLL。

覆盆子罗宾蠕虫感染流程（红金丝雀）
如何以及为什么？

尽管 Red Canary 分析师已经能够仔细检查新发现的病毒对受感染系统的作用，但仍有几个问题需要回答。

“首先，我们不知道 Raspberry Robin 如何或在何处感染外部驱动器以使其活动永久化，尽管这很可能发生在离线或我们无法看到的其他情况下。我们也不知道为什么 Raspberry Robin 会安装恶意 DLL， “研究人员说。

“一个假设是，它可能试图在受感染的系统上建立持久性，尽管需要额外的信息来建立对该假设的信心。”

由于没有关于此恶意软件最终阶段恶意任务的信息，另一个需要回答的问题是 Raspberry Robin 操作员的目标是什么。

有关 Raspberry Robin 蠕虫的更多技术信息，包括入侵指标 (IOC) 和该恶意软件的 ATT&CK，可以在 Red Canary 的报告中找到。