یک وُرم ویندوز در شبکه‌های صد‌ها سازمان از بخش‌های مختلف کشف شده است. این ورم که Raspberry Robin نام دارد، با استفاده از دستگاه‌های USB پخش می‌شود. مایکروسافت ادعا می‌کند که آرتیفکت‌های مخرب مرتبط با این ورم ایجاد شده در سال ۲۰۱۹ را یافته است.

رزبری رابین
محققان از Red Canary برای اولین بار Raspberry Robin را در سپتامبر ۲۰۲۱ شناسایی کردند. شرکت دیگری در اوایل نوامبر ورمی را مشاهده کرد که از دستگاه‌های QNAP NAS به عنوان سرور‌های C2 سواستفاده می‌نمود.

یافته‌های اخیر مایکروسافت با تیم مهندسی تشخیص Red Canary که ورم را در شبکه‌های مشتریان مختلف در بخش‌های فناوری و تولید شناسایی کردند، همسو و مرتبط است.

علاوه بر این، مایکروسافت مشاهده کرده است که این بدافزار به آدرس‌های شبکه Tor متصل می‌شود. با این حال، مهاجمان هنوز از اعتبارنامه دسترسی استفاده نکرده‌اند.

این ورم می‌تواند امنیت UAC را در سیستم‌های هدف با ابزار‌های قانونی ویندوز دور بزند.

استفاده از ابزار‌های قانونی
بدافزار Raspberry Robin با سرور‌های C2 خود ارتباط برقرار می‌کند و payload‌های مخرب را با استفاده از ابزار‌های مختلف قانونی ویندوز اجرا می‌کند:

یکی از این ابزار‌ها Fodhelper است که یک باینری قابل اعتماد برای مدیریت فیچر‌ها در تنظیمات ویندوز است.

دیگری، Msiexec یک کامپوننت کامند لاین Windows Installer و ابزاری (odbcconf) برای پیکربندی درایور‌های ODBC است.

نتیجه‌گیری
در حال حاضر، Raspberry Robin در فضای سایبری مشاهده نشده است و دشمنان هنوز شناسایی نشده‌اند. با این وجود، این حمله می‌تواند به هکر‌ها کمک کند تا بدافزار‌های اضافی را در شبکه‌های قربانیان مستقر کرده و سطح اختیارات را به شکل چشمگیری افزایش دهند.