Nylige iterationer af Raspberry Robin-malwaren har vakt alarm blandt cybersikkerhedseksperter på grund af deres øgede stealth og udnyttelse af en-dags (n-dag, eller kendt) udnytter rettet mod sårbare systemer. Disse bedrifter, designet til at udnytte nyligt rettet sårbarheder, udnytte forsinkelser i implementering af patch, udgør en væsentlig udfordring for forsvarerne.
Raspberry Robin detaljer
Navn | Hindbær Robin |
Type | Malware, Worm |
Removal Tool |
Se, om dit system er blevet påvirket af malware
Hent
Værktøj til fjernelse af malware
|
Teknisk oversigt over Raspberry Robin
Hindbær Robin, oprindeligt identificeret af Red Canary i 2021, fungerer som en orm primært transmitteret gennem flytbare lagerenheder som USB-drev. Mens dens skabere forbliver uidentificerede, den malware er blevet sat i forbindelse med forskellige trusselsaktører, herunder kendte ransomware-bander som EvilCorp og FIN11. Over tid, Raspberry Robin har udviklet sig, inkorporering af nye unddragelsesteknikker og distributionsmetoder, såsom at droppe ondsindede arkivfiler via Discord.
Udnyttelse af N-dages sårbarheder
Nylige kampagner af Raspberry Robin har vist en sofistikeret tilgang til at udnytte n-dages fejl, såsom CVE-2023-36802 og CVE-2023-29360, målrettet Microsoft Streaming Service Proxy og Windows TPM-enhedsdriveren, henholdsvis. Især, malwaren begyndte at udnytte disse sårbarheder kort efter deres offentliggørelse, indikerer hurtig tilpasning og adgang til at udnytte kodekilder.
Check Point's rapport fremhæver, at Raspberry Robin begyndte at udnytte disse sårbarheder ved at bruge dengang ukendte udnyttelser mindre end en måned efter deres offentliggørelse, juni 13 og september 12, 2023. Denne hurtige vending antyder, at operatørerne af malwaren har adgang til at udnytte kodekilder kort efter deres offentliggørelse, sandsynligvis fra eksterne leverandører eller underjordiske markeder.
Angående CVE-2023-36802, som giver angribere mulighed for at hæve privilegier til SYSTEM-niveau, en udnyttelse havde efter sigende været tilgængelig til køb på Dark Web siden februar 2023, flere måneder før Microsoft erkendte og løste problemet. Denne tidslinje viser Raspberry Robins smidighed i at erhverve og bruge bedrifter kort efter deres afsløring.
Brug avanceret undvigelsestaktik
Ud over at udnytte sårbarheder, malwaren har udviklet sin unddragelsestaktik for effektivt at omgå sikkerhedsforanstaltninger. Det afslutter specifikke processer relateret til brugerkontokontrol (UAC) og patcher API'er for at undgå registrering af sikkerhedsprodukter. Desuden, malwaren anvender taktikker for at forhindre systemnedlukninger, sikre uafbrudt ondsindet aktivitet.
Check Points rapport bemærker også, at Raspberry Robin nu tjekker, om visse API'er, såsom 'GetUserDefaultLangID’ og 'GetModuleHandleW', er tilsluttet ved at sammenligne den første byte af API-funktionen for at detektere eventuelle overvågningsprocesser af sikkerhedsprodukter. Dette indikerer en proaktiv tilgang fra malwaren til at undgå opdagelse af sikkerhedsværktøjer.
For at skjule sin kommunikation, truslen bruger Tor-domæner til at få dens indledende forbindelser til at virke uskadelige. Endvidere, malwaren anvender nu PAExec.exe i stedet for PsExec.exe til download af nyttelast, forbedre dets stealth-kapaciteter og undgå registrering.
Raspberry Robin's Evolution: Konklusion
Som Raspberry Robin fortsætter med at udvikle sig, det udgør en vedvarende trussel mod cybersikkerhed. Med sin evne til hurtigt at tilpasse sig nye sårbarheder og undgå opdagelse, forsvar mod det kræver proaktive foranstaltninger. Check Points rapport giver indikatorer på kompromis for at hjælpe organisationer med at identificere og afbøde truslen fra Raspberry Robin.