Bleeping Computerは7月4日(米国時間)、「Microsoft finds Raspberry Robin worm in hundreds of Windows networks」において、Microsoftの調査によって新たなWindowsワームが数百の組織のネットワークで見つかったと伝えた。
2021年9月にRed Canaryのセキュリティ研究者によって最初に発見されたWindowsワームは「Raspberry Robin」と名付けられ、感染したUSBデバイスを介して拡散するという特徴を持っているという。
Raspberry Robinは、悪意のある.lnkファイルを含む感染したUSBドライブを介して新しいWindowsシステムに拡散するワーム型マルウェア。ユーザーが感染したUSBデバイスにある.lnkファイルをクリックすると、cmd.exeを使用してmsiexecプロセスが生成され、同ドライブに保存されている悪意のあるファイルが起動されるとのこと。msiexec以外にもfodhelperやodbcconfといったWindowsユーティリティが使われ、C2サーバと通信して悪意のあるペイロードが実行されることが判明している。
Raspberry Robinを発見したセキュリティ研究者は、まだこのマルウェアを持続的標的型攻撃(APT: Advanced Persistent Threat)グループによるものと断定しておらず、最終目標が何なのかを調査中としている。
Microsoftは同マルウェアがTorネットワーク上のアドレスに接続していることを確認したが、サイバー犯罪者は被害者のネットワークへの攻撃をまだ開始していないと報告。ただし、サイバー犯罪者が被害者のネットワーク内に追加のマルウェアをダウンロードして展開し、いつでも特権を拡大できることからこのキャンペーンを高リスクと位置づけている。