覆盆子羅賓惡意軟件

自 2021 年底以來，一種新的詳細威脅已經出現。該惡意軟件具有類似蠕蟲的功能，稱為 Raspberry Robin。

Raspberry Robin 被歸類為可蠕蟲惡意軟件。可蠕蟲威脅具有允許其在沒有直接人類控制和乾預的情況下傳播的能力。

安全公司 Red Canary Intelligence 的研究人員對該威脅進行了檢查和分析。 Raspberry Robin 於 2021 年秋季首次被發現。該惡意軟件使用 USB 閃存驅動器傳播和感染基於 Windows 的計算機。 Raspberry Robin 使用 Microsoft 標準安裝程序 .msi 文件和其他有效和合法的進程將惡意文件放到目標系統上。

在受害系統上部署後，Raspberry Robin 使用 msiexec 命令連接到其基礎設施，發送受害設備和用戶名。類似蠕蟲的惡意軟件還會在受感染的系統上安裝惡意 DLL。

圍繞 Raspberry Robin 仍有一些懸而未決的問題。研究人員不確定蠕蟲究竟是如何傳播到它用作載體的閃存驅動器中的，以及這種情況是否離線發生。被丟棄的惡意 DLL 文件的目的也不確定，儘管研究人員懷疑它用於在主機上建立持久性。

運行 Raspberry Robin 基礎設施的威脅行為者的最終目標也不清楚，因為研究人員無法在惡意軟件活動的後期階段檢查和監控惡意軟件的活動。

該蠕蟲在受感染的閃存驅動器上植入一個 .lnk 快捷方式，使其看起來像一個普通文件夾。 Raspberry Robin 使用 Windows 命令行工具 cmd.exe 執行存儲在 USB 閃存驅動器上的文件。該惡意軟件的另一個特徵是在其命令的拼寫中使用混合的大小寫字母，可能是為了進一步躲避自動檢測。

該惡意軟件使用 msiexec 和 rundll32 執行惡意命令。這些用於啟動然後進一步配置上述惡意 DLL 文件。