Le recenti iterazioni del malware Raspberry Robin hanno sollevato allarme tra gli esperti di sicurezza informatica a causa della loro maggiore azione furtiva e dell'utilizzo di un giorno (n-giorno, o conosciuto) exploit che prendono di mira i sistemi vulnerabili. Questi exploit, progettato per sfruttare le vulnerabilità risolte di recente, sfruttare i ritardi nella distribuzione delle patch, rappresentando una sfida significativa per i difensori.
Dettagli di Robin lampone
| Nome | Pettirosso al lampone |
| Tipo | Malware, Verme |
| Strumento di rimozione |
Verifica se il tuo sistema è stato interessato da malware
Scarica
Strumento di rimozione malware
|
Panoramica tecnica di Raspberry Robin
Pettirosso al lampone, inizialmente identificato da Red Canary in 2021, funziona come a verme trasmesso principalmente attraverso dispositivi di archiviazione rimovibili come unità USB. Mentre i suoi creatori restano non identificati, il il malware è stato collegato a vari autori di minacce, comprese bande di ransomware note come EvilCorp e FIN11. Col tempo, Raspberry Robin si è evoluto, incorporando nuove tecniche di evasione e metodi di distribuzione, come eliminare file di archivio dannosi tramite Discord.
Sfruttare le vulnerabilità degli N-Day
Le recenti campagne di Raspberry Robin hanno dimostrato un approccio sofisticato allo sfruttamento dei difetti n-day, come CVE-2023-36802 e CVE-2023-29360, destinati a Microsoft Streaming Service Proxy e al driver del dispositivo TPM di Windows, rispettivamente. In particolare, il malware ha iniziato a sfruttare queste vulnerabilità poco dopo la loro divulgazione pubblica, indicando un rapido adattamento e l'accesso alle fonti di codice exploit.
Check Point rapporto sottolinea che Raspberry Robin ha iniziato a sfruttare queste vulnerabilità utilizzando exploit allora sconosciuti meno di un mese dopo la loro divulgazione pubblica, a giugno 13 e settembre 12, 2023. Questa rapida inversione di tendenza suggerisce che gli operatori del malware hanno accesso alle fonti di codice exploit subito dopo la loro divulgazione, probabilmente da fornitori esterni o mercati clandestini.
Per quanto riguarda CVE-2023-36802, che consente agli aggressori di elevare i privilegi al livello di SISTEMA, Secondo quanto riferito, un exploit era disponibile per l'acquisto sul Dark Web da febbraio 2023, diversi mesi prima che Microsoft riconoscesse e risolvesse il problema. Questa sequenza temporale mostra l'agilità di Raspberry Robin nell'acquisire e utilizzare gli exploit subito dopo la loro divulgazione.
Utilizzo di tattiche di evasione avanzate
Oltre a sfruttare le vulnerabilità, il malware ha evoluto le sue tattiche di evasione per aggirare efficacemente le misure di sicurezza. Termina processi specifici relativi al controllo dell'account utente (UAC) e patch API per eludere il rilevamento da parte dei prodotti di sicurezza. Inoltre, il malware utilizza tattiche per impedire l'arresto del sistema, garantendo attività dannose ininterrotte.
Il rapporto di Check Point rileva inoltre che Raspberry Robin ora controlla se determinate API, ad esempio "GetUserDefaultLangID".’ e "GetModuleHandleW", vengono agganciati confrontando il primo byte della funzione API per rilevare eventuali processi di monitoraggio da parte di prodotti di sicurezza. Ciò indica un approccio proattivo da parte del malware per eludere il rilevamento da parte degli strumenti di sicurezza.
Per nascondere le sue comunicazioni, la minaccia utilizza i domini Tor per far sembrare innocue le sue connessioni iniziali. Inoltre, il malware ora utilizza PAExec.exe invece di PsExec.exe per i download del payload, migliorando le sue capacità furtive ed eludendo il rilevamento.
Evoluzione di Raspberry Robin: Conclusione
Poiché Raspberry Robin continua ad evolversi, rappresenta una minaccia persistente per la sicurezza informatica. Con la sua capacità di adattarsi rapidamente alle nuove vulnerabilità ed eludere il rilevamento, difendersi da esso richiede misure proattive. Il rapporto di Check Point offre indicatori di compromissione per aiutare le organizzazioni a identificare e mitigare la minaccia rappresentata da Raspberry Robin.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: