高危Windows蠕虫已感染数百家企业
上周末,微软披露在多个行业的数百家企业的网络中发现了一种Windows蠕虫病毒。
该蠕虫(Raspberry Robin)是Red Canary的网络安全研究人员发现的一种Windows蠕虫病毒,该恶意软件通过可移动USB设备传播。
Raspberry Robin使用Windows Installer访问与QNAP关联的域并下载恶意DLL。该恶意软件使用TOR出口节点作为备份C2基础设施。
Raspberry Robin于2021年9月首次被发现,专家观察到其主要针对技术和制造业的企业。初始访问通常是通过受感染的可移动驱动器,通常是USB设备。
Raspberry Robin主要通过受感染的可移动驱动器(USB设备)引入的,通常以快捷方式.lnk文件的形式出现,伪装成受感染USB设备上的合法文件夹。在受Raspberry Robin感染的驱动器连接到系统后不久,UserAssist注册表项就会更新,并在破译时记录引用.lnk文件的ROT13加密值的执行。在下面的示例中,q:\erpbirel.yax解密为d:\recovery.lnk。
该恶意软件使用cmd.exe读取并执行存储在受感染外部驱动器上的文件,它利用msiexec.exe与用作C2的流氓域进行外部网络通信,以下载和安装DLL库文件。
然后msiexec.exe启动一个合法的Windows实用程序fodhelper.exe,该实用程序又运行rundll32.exe来执行恶意命令。专家指出,由fodhelper.exe启动的进程以提升的管理权限运行,无需用户帐户控制提示。
根据研究人员的说法,通过搜索其父进程fodhelper.exe可以检测到威胁。
微软已经证实,该蠕虫病毒已经在多个客户的网络上发现的,包括技术和制造业企业。据BleepingComputer报道,微软已通过Microsoft Defender for Endpoint向客户发送私人威胁情报警报。微软已将该蠕虫的活动标记为高风险,因为攻击者可以在受害者的网络中下载和部署额外的恶意软件并随时提升他们的权限。