Raspberry Robin: nuovi attacchi con exploit 1-day

Raspberry Robin: nuovi attacchi con exploit 1-day

Le ultime versioni del malware Raspberry Robin sfruttano due exploit 1-day di Windows e nuove tecniche per aggirare le protezioni di sicurezza.
Raspberry Robin: nuovi attacchi con exploit 1-day
Le ultime versioni del malware Raspberry Robin sfruttano due exploit 1-day di Windows e nuove tecniche per aggirare le protezioni di sicurezza.

Gli esperti di Check Point Research hanno individuato una versione recente del malware Raspberry Robin che utilizza due exploit 1-day per effettuare gli attacchi. Il codice è stato inoltre aggiornato per includere nuove funzionalità e tecniche di evasione. La distribuzione avviene ora con archivi RAR scaricati da Discord, invece che tramite drive USB.

Più pericoloso e invisibile

Raspberry Robin, scoperto per la prima volta da Red Canary nel 2021, viene principalmente sfruttato per l’accesso iniziale alle reti da vari gruppi di cybercriminali, tra cui EvilCorp, TA505 e Clop. Durante gli attacchi più recenti è cambiato il metodo di distribuzione. Invece dei drive USB sono stati usati file RAR scaricati da Discord.

All’interno degli archivi ci sono due file: OleView.exe e aclui.dll. Tramite la tecnica del side-loading, l’eseguibile carica in memoria la DLL infetta che attiva Raspberry Robin. Il malware esegue quindi l’elevazione dei privilegi sfruttando le vulnerabilità CVE-2023-36802 e CVE-2023-29360 di Microsoft Streaming Service Proxy e Windows TPM Device Driver.

I cybercriminali hanno usato i corrispondenti exploit 1-day subito dopo la conferma delle vulnerabilità e prima dell’applicazione delle patch alla maggioranza dei sistemi. Ciò significa che sono in grado di scrivere il codice o hanno acquistato gli exploit nel dark web, risparmiando rispetto agli exploit 0-day.

Le ultime varianti del malware includono nuove tecniche di evasione che ostacolano l’analisi del codice e la rilevazione da parte delle soluzioni di sicurezza. Per il movimento laterale e il download del payload viene ora usato il tool PAExec, invece di PsExec. Le funzionalità sono simili (permette l’esecuzione di processi sul sistema remoto), ma il primo è meno noto del secondo.

Il collegamento al server C2 (command and control) avviene scegliendo in maniera causale un dominio Tor tra i 60 presenti nel codice. Il malware e le URL di Discord sono bloccati dai vari antivirus, ma l’autore di Raspberry Robin continua ad aggiornare il codice per aggirare le protezioni.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 11 feb 2024
Link copiato negli appunti