Raspberry Robin マルウェアが N-Day エクスプロイトを使用, 高度な回避

Raspberry Robin マルウェアの最近の反復は、ステルス性の向上とワンデー マルウェアの利用のため、サイバーセキュリティ専門家の間で警戒を引き起こしています。 (n日, または既知の) 脆弱なシステムを標的としたエクスプロイト. これらのエクスプロイト, 最近パッチが適用された脆弱性を活用するように設計されています, パッチ展開の遅れを利用する, ディフェンダーにとって大きな課題となる.

Raspberry Robin の技術概要

ラズベリーロビン, 最初に Red Canary によって特定されました。 2021, として動作します いも虫 主に次のようなリムーバブル記憶装置を介して送信されます。 USBドライブ. 作成者は不明のままですが、, the マルウェア さまざまな脅威アクターとリンクされている, EvilCorp や FIN11 などの既知のランサムウェア ギャングを含む. 時間とともに, ラズベリーロビンが進化しました, 新しい回避技術と配布方法を組み込む, Discord経由で悪意のあるアーカイブファイルをドロップするなど.

N-Day 脆弱性の悪用

Raspberry Robin の最近のキャンペーンでは、n-day の欠陥を悪用する洗練されたアプローチが実証されています。, CVE-2023-36802 や CVE-2023-29360 など, Microsoft ストリーミング サービス プロキシと Windows TPM デバイス ドライバーをターゲットとする, それぞれ. 特に, マルウェアは、公開直後にこれらの脆弱性を悪用し始めました。, 迅速な適応とエクスプロイト コード ソースへのアクセスを示す.

チェックポイントの 報告 Raspberry Robin は、公開から 1 か月も経たないうちに、当時知られていなかったエクスプロイトを使用してこれらの脆弱性を悪用し始めたことを強調しています。, 6月に 13 と9月 12, 2023. この急速な状況の変化は、マルウェアの運営者が公開直後にエクスプロイト コード ソースにアクセスできることを示唆しています。, おそらく外部ベンダーまたは地下市場からのもの.

CVE-2023-36802について, これにより、攻撃者が権限を SYSTEM レベルに昇格できるようになります。, 伝えられるところによると、エクスプロイトは 2 月からダークウェブで購入可能になっていた 2023, Microsoft が問題を認識して対処する数か月前. このタイムラインは、エクスプロイトの公開直後に Raspberry Robin が機敏にエクスプロイトを取得して利用したことを示しています。.

高度な回避戦術の使用

脆弱性を悪用するだけでなく、, マルウェアはセキュリティ対策を効果的に回避するために回避戦術を進化させています. ユーザーアカウント制御に関連する特定のプロセスを終了します (UAC) セキュリティ製品による検出を回避するために API にパッチを適用します. さらに, マルウェアはシステムのシャットダウンを防ぐ戦術を採用します, 悪意のある活動が中断されないようにする.

Check Point のレポートでは、Raspberry Robin が特定の API をチェックするようになったことも指摘しています。, 「GetUserDefaultLangID」など’ および「GetModuleHandleW」, API 関数の最初のバイトを比較することでフックされ、セキュリティ製品による監視プロセスを検出します。. これは、マルウェアがセキュリティ ツールによる検出を回避するための積極的なアプローチを示しています。.

通信を隠蔽するため, この脅威は Tor ドメインを利用して、最初の接続が無害であるように見せます。. さらに, マルウェアはペイロードのダウンロードに PsExec.exe の代わりに PAExec.exe を使用するようになりました。, ステルス機能を強化し、探知を回避する.

ラズベリーロビンの進化: 結論

ラズベリーロビンは進化し続ける, サイバーセキュリティに対する永続的な脅威となる. 新しい脆弱性に迅速に適応し、検出を回避する機能を備えています, それを防ぐには事前の対策が必要です. Check Point のレポートは、組織が Raspberry Robin によってもたらされる脅威を特定して軽減するのに役立つ侵害の指標を提供します。.