據(jù)Bleeping Computer網(wǎng)站7月2日消息，微軟最近在來(lái)自各個(gè)行業(yè)的數(shù)百家組織網(wǎng)絡(luò)中發(fā)現(xiàn)了蠕蟲(chóng)病毒——Raspberry Robin（樹(shù)莓知更鳥(niǎo)）。

Raspberry Robin主要針對(duì)Windows系統(tǒng)，通過(guò)受感染的 USB 設(shè)備傳播。Red Canary 情報(bào)分析師于 2021 年 9 月首次發(fā)現(xiàn)該惡意軟件，而此次微軟的發(fā)現(xiàn)與Red Canary幾乎一致，該團(tuán)隊(duì)還在多個(gè)客戶的網(wǎng)絡(luò)上檢測(cè)到了這種蠕蟲(chóng)病毒，其中一些客戶來(lái)自技術(shù)和制造業(yè)。

盡管微軟觀察到惡意軟件連接到 Tor 網(wǎng)絡(luò)地址，但攻擊者尚未利用他們所獲得的受害者網(wǎng)絡(luò)訪問(wèn)權(quán)限對(duì)其發(fā)動(dòng)實(shí)質(zhì)性攻擊，由于Raspberry Robin可以使用合法的 Windows 工具繞過(guò)受感染系統(tǒng)上的用戶帳戶控制 (UAC)，要進(jìn)行攻擊可謂輕而易舉。

對(duì)于具體的攻擊進(jìn)程，Raspberry Robin 通過(guò)包含惡意 .LNK 文件的受感染 USB設(shè)備傳播至其他Windows系統(tǒng)設(shè)備，用戶一旦連接了USB設(shè)備，該蠕蟲(chóng)病毒就會(huì)使用 cmd.exe 生成一個(gè) msiexec 進(jìn)程來(lái)啟動(dòng)存儲(chǔ)在受感染設(shè)備上的惡意文件。在感染新的設(shè)備之后，Raspberry Robin會(huì)與命令和控制服務(wù)器 (C2) 通信，并利用幾個(gè)合法的 Windows 實(shí)用程序執(zhí)行惡意負(fù)載，如fodhelper、msiexec和odbcconf，其中msiexec被用于下載并執(zhí)行合法的安裝程序包。

介于攻擊者可以在受害者的網(wǎng)絡(luò)中下載和部署額外的惡意軟件并隨時(shí)提升其的權(quán)限，微軟已經(jīng)將 Raspberry Robin的相關(guān)活動(dòng)標(biāo)記為高風(fēng)險(xiǎn)行為。