在網絡安全領域,善與惡之間的鬥爭是一場持久戰。我們經常聽到惡意行為者利用新的漏洞,以及在被動和主動的基礎上對它們建立的防禦措施。現在,微軟已經發佈瞭關於一種高風險蠕蟲的私人建議,這種蠕蟲正在感染數百個Windows企業網絡。
被稱為"樹莓知更鳥"(Raspberry Robin)的惡意軟件是通過含有一個經過特殊處理後的.lnk快捷方式文件的受感染USB設備傳播的。一旦用戶點擊這個文件,該蠕蟲就會通過命令提示程序創建一個MSIexec.exe進程,並啟動另一個惡意文件。然後,它通過一個簡短的URL與命令和控制服務器進行通信。如果連接成功,它就會下載並安裝一堆其他的惡意DLLs,然後試圖與Tor節點進行通信。
值得註意的是,樹莓知更鳥並不是一個新的惡意軟件。它在2021年首次被多個安全專傢發現,微軟甚至在2019年就看到瞭它被使用的證據。
據Bleeping Computer報道,微軟現在正在私下通知Defender for Endpoint的企業用戶關於Raspberry Robin帶來的潛在危險。它還指出,它已經在多個部門的數百個Windows網絡中發現瞭這種蠕蟲。
盡管如此,非常有趣的是,雖然受感染的機器正在與Tor網絡進行通信,但Raspberry Robin背後的威脅者還沒有利用這個漏洞來獲取敏感信息或部署勒索軟件。考慮到他們下載的初始有效載荷可以通過濫用Windows工具來繞過用戶賬戶控制(UAC),他們可以輕松做到這一點。
因此,目前還不知道哪個威脅集團在利用樹莓知更鳥,以及他們的最終目標是什麼。然而,考慮到這種威脅升級的可能性,以及它的傳播速度相當快的事實,微軟暫時將其標記為高風險活動。