Raspberry Robin: nuovi attacchi con exploit 1-day
Topic
Approfondimenti
Trending
tutti

Raspberry Robin: nuovi attacchi con exploit 1-day

Le ultime versioni del malware Raspberry Robin sfruttano due exploit 1-day di Windows e nuove tecniche per aggirare le protezioni di sicurezza.
Raspberry Robin: nuovi attacchi con exploit 1-day
Sicurezza
Le ultime versioni del malware Raspberry Robin sfruttano due exploit 1-day di Windows e nuove tecniche per aggirare le protezioni di sicurezza.
Image Creator

Gli esperti di Check Point Research hanno individuato una versione recente del malware Raspberry Robin che utilizza due exploit 1-day per effettuare gli attacchi. Il codice è stato inoltre aggiornato per includere nuove funzionalità e tecniche di evasione. La distribuzione avviene ora con archivi RAR scaricati da Discord, invece che tramite drive USB.

Più pericoloso e invisibile

Raspberry Robin, scoperto per la prima volta da Red Canary nel 2021, viene principalmente sfruttato per l’accesso iniziale alle reti da vari gruppi di cybercriminali, tra cui EvilCorp, TA505 e Clop. Durante gli attacchi più recenti è cambiato il metodo di distribuzione. Invece dei drive USB sono stati usati file RAR scaricati da Discord.

All’interno degli archivi ci sono due file: OleView.exe e aclui.dll. Tramite la tecnica del side-loading, l’eseguibile carica in memoria la DLL infetta che attiva Raspberry Robin. Il malware esegue quindi l’elevazione dei privilegi sfruttando le vulnerabilità CVE-2023-36802 e CVE-2023-29360 di Microsoft Streaming Service Proxy e Windows TPM Device Driver.

I cybercriminali hanno usato i corrispondenti exploit 1-day subito dopo la conferma delle vulnerabilità e prima dell’applicazione delle patch alla maggioranza dei sistemi. Ciò significa che sono in grado di scrivere il codice o hanno acquistato gli exploit nel dark web, risparmiando rispetto agli exploit 0-day.

Le ultime varianti del malware includono nuove tecniche di evasione che ostacolano l’analisi del codice e la rilevazione da parte delle soluzioni di sicurezza. Per il movimento laterale e il download del payload viene ora usato il tool PAExec, invece di PsExec. Le funzionalità sono simili (permette l’esecuzione di processi sul sistema remoto), ma il primo è meno noto del secondo.

Il collegamento al server C2 (command and control) avviene scegliendo in maniera causale un dominio Tor tra i 60 presenti nel codice. Il malware e le URL di Discord sono bloccati dai vari antivirus, ma l’autore di Raspberry Robin continua ad aggiornare il codice per aggirare le protezioni.

Fonte: Bleeping Computer

Pubblicato il 11 feb 2024

Link copiato negli appunti

Ti potrebbe interessare

CyberGhost VPN: uno strumento potente contro le truffe online

CyberGhost VPN: uno strumento potente contro le truffe online
Offerta a tempo limitato: 36 mesi di abbonamento a PrivateVPN al -85%

Offerta a tempo limitato: 36 mesi di abbonamento a PrivateVPN al -85%
Migliora il gaming online grazie a una VPN veloce (+gift card 50€)

Migliora il gaming online grazie a una VPN veloce (+gift card 50€)
Antivirus e VPN senza limiti con Kaspersky Premium (+ codice sconto in pagina)

Antivirus e VPN senza limiti con Kaspersky Premium (+ codice sconto in pagina)
CyberGhost VPN: uno strumento potente contro le truffe online

CyberGhost VPN: uno strumento potente contro le truffe online
Offerta a tempo limitato: 36 mesi di abbonamento a PrivateVPN al -85%

Offerta a tempo limitato: 36 mesi di abbonamento a PrivateVPN al -85%
Migliora il gaming online grazie a una VPN veloce (+gift card 50€)

Migliora il gaming online grazie a una VPN veloce (+gift card 50€)
Antivirus e VPN senza limiti con Kaspersky Premium (+ codice sconto in pagina)

Antivirus e VPN senza limiti con Kaspersky Premium (+ codice sconto in pagina)
Luca Colantuoni
Pubblicato il
11 feb 2024
Link copiato negli appunti