operatörleri Ahududu Robin Kötü amaçlı yazılım eskisinden daha gizli hale getirilecek şekilde iyileştirilip geliştirilmeye devam ederken, artık yerel ayrıcalık yükseltmeyi gerçekleştirmek için iki yeni bir günlük açıklardan yararlanılıyor.
Bu, Check Point’e göre “Raspberry Robin’in bir istismar satıcısına erişimi var veya yazarları kısa bir süre içinde açıkları kendileri geliştiriyor.” söz konusu bu hafta bir raporda.
İlk olarak 2021’de belgelenen Raspberry Robin (diğer adıyla QNAP solucanı), en iyi ilk erişim kolaylaştırıcıları fidye yazılımı da dahil olmak üzere diğer kötü amaçlı yükler için.
Storm-0856 (önceki adıyla DEV-0856) adlı bir tehdit aktörüne atfedilen bu virüs, virüslü USB sürücüleri de dahil olmak üzere çeşitli giriş vektörleri aracılığıyla yayılıyor ve Microsoft bunu diğer e-suçlarla bağları olan “karmaşık ve birbirine bağlı kötü amaçlı yazılım ekosisteminin” bir parçası olarak tanımlıyor. Evil Corp, Silence ve TA505 gibi gruplar.
Raspberry Robin’in ayrıcalık yükseltme için CVE-2020-1054 ve CVE-2021-1732 gibi bir günlük güvenlik açıklarından yararlanması önceden vurgulanmış Nisan 2023’te Check Point tarafından.
Ekim 2023’ten bu yana “büyük saldırı dalgaları” tespit eden siber güvenlik firması, tehdit aktörlerinin tespit ve analiz etmeyi zorlaştırmak için ek anti-analiz ve gizleme teknikleri uyguladığını söyledi.
“En önemlisi, Raspberry Robin, kamuya açıklanmadan önce veya kısa bir süre sonra güvenlik açıkları için farklı istismarlar kullanmaya devam ediyor” dedi.
“Bu bir günlük istismarlar, kullanıldıkları sırada kamuya açıklanmamıştı. Güvenlik açıklarından biri olan CVE-2023-36802’ye yönelik bir istismar da vahşi doğada sıfır gün olarak kullanıldı ve dark web’de satıldı. “
Geçen yılın sonlarında Cyfirma’dan bir rapor açıklığa kavuşmuş bu bir istismar CVE-2023-36802 Şubat 2023’te dark web forumlarında reklamı yapılıyordu. Bu, Microsoft ve CISA’nın aktif istismara ilişkin bir danışma belgesi yayınlamasından yedi ay önceydi. Eylül 2023’te Windows üreticisi tarafından yama uygulandı.
Raspberry Robin’in Ekim 2023’te bu kusura yönelik bir istismardan yararlanmaya başladığı söyleniyor; aynı ay, kamuya açık bir yararlanma kodu kullanıma sunuldu. CVE-2023-29360 Ağustosda. İkincisi Haziran 2023’te kamuya açıklandı, ancak hataya yönelik bir istismar Eylül 2023’e kadar ortaya çıkmadı.
Tehdit aktörlerinin, harici 64 bit çalıştırılabilir bir dosya olarak kullanıldıkları ve kötü amaçlı yazılımın çekirdek modülü kadar yoğun bir şekilde gizlenmedikleri için, bu açıkları şirket içinde geliştirmek yerine satın aldıkları değerlendiriliyor.
Şirket, “Raspberry Robin’in yeni açıklanan güvenlik açıklarını hızlı bir şekilde cephaneliğine dahil etme yeteneği, birçok kuruluş yama uygulamadan önce güvenlik açıklarından yararlanarak önemli bir tehdit düzeyini daha da ortaya koyuyor” dedi.
Diğer önemli değişikliklerden biri, Discord’da barındırılan Raspberry Robin örneklerini içeren hileli RAR arşiv dosyalarından yararlanan ilk erişim yolunun kendisi ile ilgilidir.
Daha yeni varyantlarda ayrıca, artık PsExec.exe yerine PAExec.exe’yi kullanan yanal hareket mantığı ve 60 sabit kodlu soğan listesinden rastgele bir V3 soğan adresi seçilerek komut ve kontrol (C2) iletişim yöntemi de değiştirildi. adresler.
Check Point, “Bu, meşru ve iyi bilinen Tor alan adlarıyla iletişim kurmaya çalışmak ve herhangi bir yanıt alıp almadığını kontrol etmekle başlıyor” diye açıkladı. “Yanıt yoksa Raspberry Robin gerçek C2 sunucularıyla iletişim kurmaya çalışmaz.”
