研究人员警告称,“RaspberryRobin”可能正在通过外部驱动器传播据研究人员称,根据报告,这种恶意软件的最早活动迹象可以追溯到2021年9月,当时在与技术和制造相关的组织中观察到感染。与RaspberryRobin相关的攻击链始于将受感染的USB驱动器连接到Windows机器。设备内部是蠕虫有效载荷,它在合法文件夹中显示为.lnk快捷方式文件。然后蠕虫使用cmd.exe生成一个新进程来读取和执行存储在外部驱动器上的恶意文件。然后它将启动explorer.exe和msiexc.exe,后者用于与流氓域进行外部网络通信以进行命令和控制(C2),以及下载和安装DLL库文件。最后,使用一系列合法的Windows实用程序加载并执行恶意DLL,例如fodhelper.exe、rundll32.exe到rundll32.exe和odbcconf.exe,有??效绕过用户帐户控制(UAC)。值得一提的是,出站C2关联在RaspberryRobin检测中非常常见,通常涉及与Tor节点关联的IP地址进程regsvr32.exe、rundll32.exe和dllhost.exe。直到今天,研究人员还不知道攻击者的动机是什么。此外,研究人员也在试图弄清楚外部硬盘驱动器是如何以及在何处被感染的,但就目前的猜测而言,脱机感染的可能性更大。对此,研究人员表示:“我们也不清楚RaspberryRobin为什么会安装这个恶意DLL,我们提出一个假设:它可能会尝试在被感染的系统上长期存在。”
