安全研究人员披露了一种新的可蠕虫恶意软件,该恶意软件利用 Microsoft 标准安装程序中的漏洞来感染 Windows 系统。该病毒——被称为 Raspberry Robin——通过受感染的 USB 驱动器进入计算机。
根据Red Canary Intelligence的说法,该恶意软件自去年秋天以来就一直可见,该公司的研究人员从那时起就一直在跟踪它。从一小部分用户中的检测来看,这个问题已经在更多客户中出现。
如果将损坏的 USB 驱动器放入 Windows 机器,蠕虫可以通过使用 msiexec.exe 在系统上传播以获取用户信息:
“这个活动集群依靠 msiexec.exe 调用其基础设施,通常是受感染的 QNAP 设备,使用包含受害者用户和设备名称的 HTTP 请求。我们还观察到 Raspberry Robin 使用 TOR 出口节点作为额外的命令和控制 (C2) 基础设施。”
智力差距
研究小组表示,自今年年初以来,围绕 Raspberry Robin 恶意软件的活动一直在增加。虽然可以看到恶意软件如何渗透系统,但研究人员仍不清楚攻击的某些方面。
例如,Red Canary 仍然不知道 Raspberry Robin 如何感染外部驱动器,只是将其归结为“我们无法看到”的潜在离线感染。此外,该团队不确定蠕虫如何在 Windows 系统上安装恶意 DLL。
“我们在这个集群周围有几个情报差距,包括运营商的目标。虽然我们还没有全貌,但我们想分享迄今为止我们对这个活动集群的了解,以丰富对这种威胁的集体理解,并使防御者能够识别这种活动。”
未经允许不得转载:表盘吧 » Windows 系统受到“Raspberry Robin”蠕虫恶意软件的攻击
