Raspberry Robin solucanı, ayrıcalık yükseltme yeteneklerini geliştirmek amacıyla bir günlük açıkları neredeyse geliştirilir geliştirilmez birleştiriyor.
Check Point’ten araştırmacılar şüpheli İlk erişim aracının arkasındaki geliştiricilerin, Dark Web istismar kaçakçıları ile sözleşme yaparak, bu tür istismarlar kamuya açıklanmadan ve etkilenen kuruluşların birçoğu ilgili güvenlik yamalarını düzeltmeye başlamadan önce, sistem düzeyinde ayrıcalıklar elde etmek için yeni istismarları hızlı bir şekilde dahil etmelerine olanak tanıyor. güvenlik açıkları.
Check Point’in grup yöneticisi Eli Smadja, “Bu, saldırgana kaçma açısından çok daha fazla yetenek kazandıran ve başka herhangi bir senaryoda yapabileceğinden daha yüksek ayrıcalıklı eylemler gerçekleştirmesini sağlayan, programın çok güçlü bir parçası” diye açıklıyor.
Raspberry Robin: Suistimalleri Artık Daha Hızlı Birleştirin
Raspberry Robin ilk olarak 2021’de keşfedildi ve bir Kızıl Kanarya blog yazısı gelecek yıl. O günden bu yana geliştiriciler çok daha proaktif hale geldiler ve araçlarını eskisinden çok daha kısa sürede yükselttiler.
Örneğin, erken bir yükseltmeyi düşünün: CVE-2021-1732’ye yönelik bir istismar içerdiğinde, CVSS ölçeğinde 10 üzerinden 7,8 “yüksek” puana sahip bir ayrıcalık yükseltme güvenlik açığı. Win32k Windows sürücü hatası ilk olarak 2021 yılının Şubat ayında açıklandı, ancak yalnızca ertesi yıl Raspberry Robin’e entegre edildi.
Bunu geçtiğimiz Haziran ayında ortaya çıkan başka bir ayrıcalık yükseltme güvenlik açığıyla karşılaştırın: CVE-2023-29360, Microsoft Stream’in akış hizmeti proxy’sinde 10 üzerinden 8,4 “yüksek” bir hata. Raspberry Robin zaten ağustos ayına kadar bunu kullanıyordu, ancak kamuya açık bir istismar bir sonraki aya kadar gün yüzüne çıkmayacaktı.
Sonra vardı CVE-2023-36802, Microsoft Stream’de benzer bir hata 7,8 CVSS puanıyla. İlk olarak 12 Eylül’de açıklanan bu saldırı, yine herhangi bir kamuya açık istismar yayınlanmadan önce, Ekim başında Raspberry Robin tarafından istismar ediliyordu (geliştiriciler bu durumda çok fazla övgüyü hak etmiyor çünkü bir istismar Şubat ayından bu yana Dark Web’de mevcuttu) .)
Başka bir deyişle, grubun güvenlik açıklarını ifşa ettikten sonra silah haline getirmek için harcadığı süre bir yıldan iki aya, hatta iki haftaya çıktı.
Hızlı çalışmalarını açıklamak için Check Point, solucan geliştiricilerinin istismarlarını ya Dark Web’deki bir günlük geliştiricilerden satın aldıklarını ya da kendilerinin geliştirdiklerini öne sürüyor. Solucan ve yararlanma kodları arasındaki bazı yanlış hizalamalar, önceki senaryonun daha olası olduğunu gösteriyor.
Yaygın, Etkili İlk Erişim Siber Tehdidi
Raspberry Robin, henüz aktif olduğu ilk yılda dünyanın en popüler solucanlarından biriydi. ayda binlerce enfeksiyon. Kızıl Kanarya bunu takip etti 2022’nin en yaygın yedinci tehdidisayıları yalnızca aydan aya artıyor.
Günümüzde Raspberry Robin popüler bir ilk erişim seçeneğidir. Evil Corp gibi tehdit aktörleriTA505 ve daha fazlası, katkıda bulunuyor kamu ve özel sektör kuruluşlarının büyük ihlalleri.
Smadja, “Bugün listede yer alan en iyi kötü amaçlı yazılımların çoğu, ağlara yayılmak için solucanlar kullanıyor çünkü bu çok faydalı; bu yetenekleri kendi başınıza geliştirme zahmetinden kurtarıyor” diye açıklıyor. “Örneğin, bir sisteme ilk erişim, güvenliğin atlanması ve komuta ve kontrol altyapısı; yalnızca onu satın almanız, birleştirmeniz yeterlidir ve bu işinizi çok daha kolaylaştırır.”
Bu özellikle doğru, diye ekliyor, “çünkü Raspberry Robin gibi araçlar gelişmeye devam ediyor, yeni sıfır günler ve bir günler kullanıyor, altyapılarını ve kaçınma tekniklerini geliştiriyor. Bu yüzden hiçbir zaman yok olmayacağını düşünüyorum. Bu, bir şirket için harika bir hizmet. saldırgan.”