覆盆子羅賓

在影響 Windows 系統的攻擊活動中正在使用具有類似蠕蟲功能的惡意軟件。該威脅及其相關的活動集群已被網絡安全研究人員追踪為 Raspberry Robin 和“QNAP 蠕蟲”。根據他們的報告，Raspberry Robin 行動早在 2021 年 9 月就被發現，但大部分活動發生在 2022 年 1 月及之後。威脅的受害者已被確定為在技術和製造業領域運營的公司，但可能存在也是其他人。應該指出的是，到目前為止，威脅行為者的目標尚未得到確認。

利用合法的 Windows 工具

Raspberry Robin 的感染鏈始於受感染的可移動驅動器，例如 USB 設備。這些驅動器以快捷方式 .lnk 文件的形式包含 Raspberry Robin 蠕蟲，偽裝成合法文件夾。將損壞的驅動器連接到計算機後，威脅就會激活。它利用 cmd.exe 讀取並執行在受感染的外部驅動器上找到的文件。研究人員發現，這個命令在不同的 Raspberry Robin 檢測之間是一致的，可以作為蠕蟲進行的威脅活動的指標。

作為其行動的一部分，該惡意軟件廣泛利用合法的 Windows 實用程序。它利用 msiexec.exe（Microsoft 標準安裝程序）來獲取和執行受感染的 DLL 文件以及其他合法的安裝程序包。該 DLL 文件被認為具有與持久性相關的功能，並且取自損壞的命令和控制 (C2、C&C) 域，可能託管在受損的 QNAP 設備上。使用 Windows 進程 regsvr32.exe、rundll32.exe 和 dllhost.exe 也觀察到了歸因於 Raspberry Robin 的出站 C2 活動。外部網絡連接嘗試針對的是 TOR 節點上的 IP 地址。

Raspberry Robin 還強制 msiexec.exe 啟動另一個真正的 Window 實用程序 - fodhelper.exe。威脅依靠它生成 rundll32.exe 並啟動威脅命令。威脅參與者選擇了 fodhelper.exe，因為它能夠以提升的管理員權限啟動進程，而不會觸髮用戶帳戶控制 (UAC) 提示。