令人讨厌的Windows蠕虫通过受感染的USB驱动器传播到数百个网络

据BleepingComputer报道，这家Redmond巨头私下通知了订阅MicrosoftDefenderforEndpoint的公司(在新标签中打开)其调查结果。安全公告解释说，虽然该恶意软件(名为RaspberryRobin)尚未被利用，但已观察到它连接到Tor网络上的多个地址。

RaspberryRobin于去年年底首次被发现，当时RedCanary的研究人员发现了一个“恶意活动集群”。该恶意软件通常通过受感染的USB驱动器离线分发。在分析受感染的拇指驱动器后，研究人员发现该蠕虫通过恶意.LNK文件传播到新设备。

一旦受害者插入USB驱动器，蠕虫将通过cmd.exe触发一个新进程，并在受感染端点上运行该文件(在新标签中打开).

研究人员进一步指出，为了访问其命令和控制(C2)服务器，该蠕虫使用Microsoft标准安装程序(msiexec.exe)。他们推测服务器(在新标签中打开)托管在受感染的QNAPNAS设备上，TOR出口节点被用作额外的C2基础设施。

去年年底，Sekoia的网络安全专家也观察到它使用QNAPNAS设备作为C2服务器。

“虽然msiexec.exe下载并执行合法的安装程序包，但攻击者也利用它来传播恶意软件，”报告指出。“RaspberryRobin使用msiexec.exe尝试与恶意域进行外部网络通信，以实现C2目的。”

研究人员尚未将恶意软件归因于特定的威胁行为者，并且不确定恶意软件的目标是什么。现在，由于它没有被积极使用，这是任何人的猜测。

“我们也不知道为什么RaspberryRobin会安装恶意DLL，”研究人员几个月前表示。“一个假设是，它可能试图在受感染的系统上建立持久性，尽管需要额外的信息来建立对该假设的信心。”