Les récentes itérations du malware Raspberry Robin ont alarmé les experts en cybersécurité en raison de leur furtivité accrue et de l'utilisation de logiciels malveillants d'une journée. (n-jour, ou connu) exploits ciblant les systèmes vulnérables. Ces exploits, conçu pour exploiter les vulnérabilités récemment corrigées, capitaliser sur les retards dans le déploiement des correctifs, présentant un défi important pour les défenseurs.
Détails du Robin des Framboises
| Nom | Rouge-gorge Framboise |
| Type | Malware, Ver |
| Outil de suppression |
Voir si votre système a été affecté par des logiciels malveillants
Télécharger
Malware Removal Tool
|
Présentation technique de Raspberry Robin
Rouge-gorge Framboise, initialement identifié par Red Canary dans 2021, fonctionne comme un ver principalement transmis via des périphériques de stockage amovibles tels que Lecteurs USB. Alors que ses créateurs restent non identifiés, la les logiciels malveillants a été lié à divers acteurs de la menace, y compris des gangs de ransomwares connus tels que EvilCorp et FIN11. Heures supplémentaires, Raspberry Robin a évolué, intégrant de nouvelles techniques d’évasion et méthodes de distribution, comme la suppression de fichiers d'archives malveillants via Discord.
Exploiter les vulnérabilités N-Day
Les campagnes récentes de Raspberry Robin ont démontré une approche sophistiquée pour exploiter les failles n-day, tels que CVE-2023-36802 et CVE-2023-29360, ciblant le proxy du service de streaming Microsoft et le pilote de périphérique Windows TPM, respectivement. Notamment, le logiciel malveillant a commencé à exploiter ces vulnérabilités peu de temps après leur divulgation publique, indiquant une adaptation rapide et un accès aux sources de code d’exploitation.
Points de contrôle rapport souligne que Raspberry Robin a commencé à exploiter ces vulnérabilités en utilisant des exploits alors inconnus moins d'un mois après leur divulgation publique, en juin 13 et Septembre 12, 2023. Ce redressement rapide suggère que les opérateurs du malware ont accès aux sources de code d'exploitation peu de temps après leur divulgation., probablement auprès de fournisseurs externes ou de marchés souterrains.
Concernant CVE-2023-36802, qui permet aux attaquants d'élever les privilèges au niveau SYSTEM, un exploit serait disponible à l'achat sur le Dark Web depuis février 2023, plusieurs mois avant que Microsoft ne reconnaisse et ne résolve le problème. Cette chronologie montre l'agilité de Raspberry Robin dans l'acquisition et l'utilisation d'exploits peu de temps après leur divulgation..
Utiliser des tactiques d'évasion avancées
En plus d'exploiter les vulnérabilités, le malware a fait évoluer ses tactiques d'évasion pour contourner efficacement les mesures de sécurité. Il met fin aux processus spécifiques liés au contrôle des comptes d'utilisateurs (UAC) et corrige les API pour échapper à la détection par les produits de sécurité. En outre, le malware utilise des tactiques pour empêcher les arrêts du système, garantir une activité malveillante ininterrompue.
Le rapport de Check Point note également que Raspberry Robin vérifie désormais si certaines API, tel que « GetUserDefaultLangID »’ et 'GetModuleHandleW', sont accrochés en comparant le premier octet de la fonction API pour détecter tout processus de surveillance par les produits de sécurité. Cela indique une approche proactive du malware pour échapper à la détection par les outils de sécurité..
Pour dissimuler ses communications, la menace utilise les domaines Tor pour rendre ses connexions initiales inoffensives. En outre, le malware utilise désormais PAExec.exe au lieu de PsExec.exe pour les téléchargements de charges utiles, améliorer ses capacités furtives et échapper à la détection.
L'évolution de Raspberry Robin: Conclusion
Alors que Raspberry Robin continue d'évoluer, cela constitue une menace persistante pour la cybersécurité. Avec sa capacité à s’adapter rapidement aux nouvelles vulnérabilités et à échapper à la détection, se défendre contre cela nécessite des mesures proactives. Le rapport de Check Point propose des indicateurs de compromission pour aider les organisations à identifier et à atténuer la menace posée par Raspberry Robin..
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: