As recentes iterações do malware Raspberry Robin despertaram o alarme entre os especialistas em segurança cibernética devido ao aumento da furtividade e à utilização de recursos de um dia. (n-dia, ou conhecido) explorações visando sistemas vulneráveis. Essas façanhas, projetado para aproveitar vulnerabilidades recentemente corrigidas, aproveitar os atrasos na implantação de patches, apresentando um desafio significativo para os defensores.
Detalhes do Raspberry Robin
Nome | Framboesa Robin |
Tipo | Malware, Minhoca |
Ferramenta de remoção |
Veja se o seu sistema foi afetado por malware
Baixar
Remoção de Malware Ferramenta
|
Visão geral técnica do Raspberry Robin
Framboesa Robin, inicialmente identificado por Red Canary em 2021, funciona como um Minhoca transmitido principalmente através de dispositivos de armazenamento removíveis como drives USB. Embora seus criadores permaneçam não identificados, a malwares foi vinculado a vários atores de ameaças, incluindo gangues de ransomware conhecidas, como EvilCorp e FIN11. Hora extra, Raspberry Robin evoluiu, incorporando novas técnicas de evasão e métodos de distribuição, como descartar arquivos maliciosos via Discord.
Explorando vulnerabilidades de N dias
Campanhas recentes do Raspberry Robin demonstraram uma abordagem sofisticada para explorar falhas de n dias, como CVE-2023-36802 e CVE-2023-29360, visando o Microsoft Streaming Service Proxy e o driver de dispositivo TPM do Windows, respectivamente. Notavelmente, o malware começou a aproveitar essas vulnerabilidades logo após sua divulgação pública, indicando rápida adaptação e acesso a fontes de código de exploração.
Check Points relatório destaca que o Raspberry Robin começou a explorar essas vulnerabilidades usando explorações então desconhecidas menos de um mês após sua divulgação pública, em Junho 13 e setembro 12, 2023. Esta rápida reviravolta sugere que os operadores do malware têm acesso para explorar fontes de código logo após a sua divulgação, provavelmente de fornecedores externos ou mercados clandestinos.
Em relação ao CVE-2023-36802, que permite que invasores elevem privilégios ao nível SYSTEM, uma exploração estaria disponível para compra na Dark Web desde fevereiro 2023, vários meses antes da Microsoft reconhecer e resolver o problema. Esta linha do tempo mostra a agilidade do Raspberry Robin em adquirir e utilizar exploits logo após sua divulgação.
Usando táticas de evasão avançadas
Além de explorar vulnerabilidades, o malware evoluiu suas táticas de evasão para contornar as medidas de segurança de forma eficaz. Ele encerra processos específicos relacionados ao Controle de Conta de Usuário (UAC) e corrige APIs para evitar a detecção por produtos de segurança. Além disso, o malware emprega táticas para evitar desligamentos do sistema, garantindo atividade maliciosa ininterrupta.
O relatório da Check Point também observa que o Raspberry Robin agora verifica se certas APIs, como 'GetUserDefaultLangID’ e 'GetModuleHandleW', são fisgados comparando o primeiro byte da função API para detectar quaisquer processos de monitoramento por produtos de segurança. Isso indica uma abordagem proativa do malware para evitar a detecção por ferramentas de segurança.
Para ocultar suas comunicações, a ameaça utiliza domínios Tor para fazer com que suas conexões iniciais pareçam inócuas. além disso, o malware agora emprega PAExec.exe em vez de PsExec.exe para downloads de carga útil, aprimorando suas capacidades furtivas e evitando a detecção.
A evolução do Raspberry Robin: Conclusão
À medida que Raspberry Robin continua a evoluir, representa uma ameaça persistente à segurança cibernética. Com sua capacidade de se adaptar rapidamente a novas vulnerabilidades e evitar a detecção, defender-se contra isso requer medidas proativas. O relatório da Check Point oferece indicadores de comprometimento para ajudar as organizações a identificar e mitigar a ameaça representada pelo Raspberry Robin.