在網(wǎng)絡(luò)安全領(lǐng)域，善與惡之間的斗爭是一場持久戰(zhàn)。我們經(jīng)常聽到惡意行為者利用新的漏洞，以及在被動和主動的基礎(chǔ)上對它們建立的防御措施。現(xiàn)在，微軟已經(jīng)發(fā)布了關(guān)于一種高風(fēng)險蠕蟲的私人建議，這種蠕蟲正在感染數(shù)百個Windows企業(yè)網(wǎng)絡(luò)。

被稱為"樹莓知更鳥"(Raspberry Robin)的惡意軟件是通過含有一個經(jīng)過特殊處理后的.lnk快捷方式文件的受感染USB設(shè)備傳播的。一旦用戶點擊這個文件，該蠕蟲就會通過命令提示程序創(chuàng)建一個MSIexec.exe進(jìn)程，并啟動另一個惡意文件。然后，它通過一個簡短的URL與命令和控制服務(wù)器進(jìn)行通信。如果連接成功，它就會下載并安裝一堆其他的惡意DLLs，然后試圖與Tor節(jié)點進(jìn)行通信。

值得注意的是，樹莓知更鳥并不是一個新的惡意軟件。它在2021年首次被多個安全專家發(fā)現(xiàn)，微軟甚至在2019年就看到了它被使用的證據(jù)。

據(jù)Bleeping Computer報道，微軟現(xiàn)在正在私下通知Defender for Endpoint的企業(yè)用戶關(guān)于Raspberry Robin帶來的潛在危險。它還指出，它已經(jīng)在多個部門的數(shù)百個Windows網(wǎng)絡(luò)中發(fā)現(xiàn)了這種蠕蟲。

盡管如此，非常有趣的是，雖然受感染的機器正在與Tor網(wǎng)絡(luò)進(jìn)行通信，但Raspberry Robin背后的威脅者還沒有利用這個漏洞來獲取敏感信息或部署勒索軟件?？紤]到他們下載的初始有效載荷可以通過濫用Windows工具來繞過用戶賬戶控制（UAC），他們可以輕松做到這一點。

因此，目前還不知道哪個威脅集團(tuán)在利用樹莓知更鳥，以及他們的最終目標(biāo)是什么。然而，考慮到這種威脅升級的可能性，以及它的傳播速度相當(dāng)快的事實，微軟暫時將其標(biāo)記為高風(fēng)險活動。