Microsoft已在数百个网络中发现了RaspberryRobin蠕虫)。RaspberryRobin主要针对Windows系统并通过受感染的USB设备传播。RedCanary情报分析师于2021年9月首次发现该恶意软件,Microsoft的发现与RedCanary的发现几乎相同。该团队还在多个客户的网络上检测到蠕虫,其中一些来自技术和制造业。尽管Microsoft已经观察到连接到Tor网络地址的恶意软件,但攻击者尚未利用他们获得的对受害者网络的访问权限来实际攻击它,因为RaspberryRobin可以使用合法的Windows工具绕过受感染系统上的用户帐户控制(UAC),这很容易被攻击。具体攻击过程,RaspberryRobin通过包含恶意.LNK文件的受感染USB设备传播到其他Windows系统设备。一旦用户连接USB设备,蠕虫就会使用cmd.exe生成一个msiexec进程来启动存储在受感染设备上的恶意文件中的文件。在感染新设备后,RaspberryRobin与命令和控制服务器(C2)通信,并利用fodhelper、msiexec和odbcconf等多个合法Windows实用程序执行恶意负载,其中msiexec用于下载并执行合法安装包。Microsoft已将与RaspberryRobin相关的活动标记为高风险,因为攻击者可以在受害者的网络上下载和部署其他恶意软件,并随时提升其权限。
