覆盆子罗宾

在影响 Windows 系统的攻击活动中正在使用具有类似蠕虫功能的恶意软件。该威胁及其相关的活动集群已被网络安全研究人员追踪为 Raspberry Robin 和“QNAP 蠕虫”。根据他们的报告，Raspberry Robin 行动早在 2021 年 9 月就被发现，但大部分活动发生在 2022 年 1 月及之后。威胁的受害者已被确定为在技术和制造业领域运营的公司，但可能存在也是其他人。应该指出的是，到目前为止，威胁行为者的目标尚未得到确认。

利用合法的 Windows 工具

Raspberry Robin 的感染链始于受感染的可移动驱动器，例如 USB 设备。这些驱动器以快捷方式 .lnk 文件的形式包含 Raspberry Robin 蠕虫，伪装成合法文件夹。将损坏的驱动器连接到计算机后，威胁就会激活。它利用 cmd.exe 读取并执行在受感染的外部驱动器上找到的文件。研究人员发现，这个命令在不同的 Raspberry Robin 检测之间是一致的，可以作为蠕虫进行的威胁活动的指标。

作为其行动的一部分，该恶意软件广泛利用合法的 Windows 实用程序。它利用 msiexec.exe（Microsoft 标准安装程序）来获取和执行受感染的 DLL 文件以及其他合法的安装程序包。该 DLL 文件被认为具有与持久性相关的功能，并且取自损坏的命令和控制 (C2、C&C) 域，可能托管在受损的 QNAP 设备上。使用 Windows 进程 regsvr32.exe、rundll32.exe 和 dllhost.exe 也观察到了归因于 Raspberry Robin 的出站 C2 活动。外部网络连接尝试针对的是 TOR 节点上的 IP 地址。

Raspberry Robin 还强制 msiexec.exe 启动另一个真正的 Window 实用程序 - fodhelper.exe。威胁依靠它生成 rundll32.exe 并启动威胁命令。威胁参与者选择了 fodhelper.exe，因为它能够以提升的管理员权限启动进程，而不会触发用户帐户控制 (UAC) 提示。