Jüngste Versionen der Raspberry-Robin-Malware haben bei Cybersicherheitsexperten aufgrund ihrer zunehmenden Heimlichkeit und Eintagsfliegerei Besorgnis erregt (n-Tag, oder bekannt) Exploits, die auf anfällige Systeme abzielen. Diese Heldentaten, Entwickelt, um kürzlich behobene Schwachstellen auszunutzen, Profitieren Sie von Verzögerungen bei der Patch-Bereitstellung, stellt für die Verteidiger eine große Herausforderung dar.
Details zum Himbeerrotkehlchen
| Name | Himbeerrotkehlchen |
| Art | Malware, Wurm |
| Removal Tool |
Überprüfen Sie, ob Ihr System von Malware betroffen ist
Herunterladen
Malware Removal Tool
|
Technischer Überblick über Raspberry Robin
Himbeerrotkehlchen, ursprünglich von Red Canary identifiziert 2021, fungiert als Wurm in erster Linie über Wechselspeichergeräte wie übertragen USB-Laufwerke. Während seine Schöpfer unbekannt bleiben, die Malware wurde mit verschiedenen Bedrohungsakteuren in Verbindung gebracht, darunter bekannte Ransomware-Banden wie EvilCorp und FIN11. Im Laufe der Zeit, Raspberry Robin hat sich weiterentwickelt, Einbeziehung neuer Umgehungstechniken und Vertriebsmethoden, wie das Löschen schädlicher Archivdateien über Discord.
Ausnutzung von N-Day-Schwachstellen
Die jüngsten Kampagnen von Raspberry Robin haben einen ausgefeilten Ansatz zur Ausnutzung von N-Day-Fehlern gezeigt, wie CVE-2023-36802 und CVE-2023-29360, Ziel ist der Microsoft Streaming Service Proxy und der Windows TPM-Gerätetreiber, beziehungsweise. Vor allem, Die Malware begann kurz nach ihrer Veröffentlichung, diese Schwachstellen auszunutzen, Dies weist auf eine schnelle Anpassung und Zugriff auf Exploit-Codequellen hin.
Check Points Bericht hebt hervor, dass Raspberry Robin weniger als einen Monat nach ihrer Veröffentlichung begann, diese Schwachstellen mithilfe damals unbekannter Exploits auszunutzen, im Juni 13 und September 12, 2023. Diese schnelle Entwicklung deutet darauf hin, dass die Betreiber der Schadsoftware schon bald nach deren Offenlegung Zugriff auf die Exploit-Codequellen haben, wahrscheinlich von externen Anbietern oder Untergrundmärkten.
Bezüglich CVE-2023-36802, Dies ermöglicht es Angreifern, Berechtigungen auf die SYSTEM-Ebene zu erhöhen, Berichten zufolge war ein Exploit seit Februar im Dark Web käuflich zu erwerben 2023, mehrere Monate bevor Microsoft das Problem erkannte und ansprach. Diese Zeitleiste zeigt die Agilität von Raspberry Robin bei der Erfassung und Nutzung von Exploits kurz nach deren Offenlegung.
Verwendung fortgeschrittener Ausweichtaktiken
Zusätzlich zur Ausnutzung von Schwachstellen, Die Malware hat ihre Umgehungstaktiken weiterentwickelt, um Sicherheitsmaßnahmen effektiv zu umgehen. Es beendet bestimmte Prozesse im Zusammenhang mit der Benutzerkontensteuerung (UAC) und patcht APIs, um der Erkennung durch Sicherheitsprodukte zu entgehen. Zudem, Die Malware wendet Taktiken an, um Systemabschaltungen zu verhindern, Gewährleistung ununterbrochener böswilliger Aktivitäten.
Im Bericht von Check Point wird außerdem darauf hingewiesen, dass Raspberry Robin nun prüft, ob bestimmte APIs vorhanden sind, wie zum Beispiel „GetUserDefaultLangID’ und 'GetModuleHandleW', werden durch den Vergleich des ersten Bytes der API-Funktion eingehängt, um etwaige Überwachungsprozesse durch Sicherheitsprodukte zu erkennen. Dies weist auf einen proaktiven Ansatz der Malware hin, um der Erkennung durch Sicherheitstools zu entgehen.
Um seine Kommunikation zu verbergen, Die Bedrohung nutzt Tor-Domänen, um ihre anfänglichen Verbindungen harmlos erscheinen zu lassen. Weiter, Die Malware verwendet jetzt PAExec.exe anstelle von PsExec.exe zum Herunterladen von Nutzdaten, Verbesserung seiner Tarnfähigkeiten und Umgehung der Entdeckung.
Raspberry Robins Evolution: Abschluss
Während sich Raspberry Robin weiterentwickelt, es stellt eine anhaltende Bedrohung für die Cybersicherheit dar. Mit seiner Fähigkeit, sich schnell an neue Schwachstellen anzupassen und der Erkennung zu entgehen, Um sich dagegen zu wehren, sind proaktive Maßnahmen erforderlich. Der Check Point-Bericht bietet Kompromittierungsindikatoren, um Unternehmen dabei zu helfen, die von Raspberry Robin ausgehende Bedrohung zu erkennen und abzuschwächen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: