{"id":1177049,"date":"2024-02-09T18:31:24","date_gmt":"2024-02-09T18:31:24","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-malware-raspberry-robin-se-actualiza-con-discord-spread-y-nuevos-exploits\/"},"modified":"2024-02-09T18:31:28","modified_gmt":"2024-02-09T18:31:28","slug":"el-malware-raspberry-robin-se-actualiza-con-discord-spread-y-nuevos-exploits","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-malware-raspberry-robin-se-actualiza-con-discord-spread-y-nuevos-exploits\/","title":{"rendered":"El malware Raspberry Robin se actualiza con Discord Spread y nuevos exploits"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>09 de febrero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Malware\/Web oscura<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los operadores de Petirrojo frambuesa<\/strong> Ahora est\u00e1n utilizando dos nuevos exploits de un d\u00eda para lograr una escalada de privilegios locales, incluso cuando el malware contin\u00faa refin\u00e1ndose y mejor\u00e1ndose para hacerlo m\u00e1s sigiloso que antes.<\/p>\n

Esto significa que “Raspberry Robin tiene acceso a un vendedor de exploits o sus autores desarrollan los exploits ellos mismos en un corto per\u00edodo de tiempo”, Check Point dicho<\/a> en un informe esta semana.<\/p>\n

Raspberry Robin (tambi\u00e9n conocido como gusano QNAP), documentado por primera vez en 2021, es una familia de malware evasivo que se sabe que act\u00faa como uno de los principales facilitadores de acceso inicial<\/a> para otras cargas maliciosas, incluido el ransomware.<\/p>\n

Atribuido a un actor de amenazas llamado Storm-0856 (anteriormente DEV-0856), se propaga a trav\u00e9s de varios vectores de entrada, incluidas unidades USB infectadas, y Microsoft lo describe como parte de un “ecosistema de malware complejo e interconectado” con v\u00ednculos con otros delitos electr\u00f3nicos. grupos como Evil Corp, Silence y TA505.<\/p>\n

\"La<\/a><\/center><\/div>\n

El uso por parte de Raspberry Robin de exploits de un d\u00eda como CVE-2020-1054 y CVE-2021-1732 para escalar privilegios fue previamente resaltado<\/a> por Check Point en abril de 2023.<\/p>\n

La firma de ciberseguridad, que detect\u00f3 “grandes oleadas de ataques” desde octubre de 2023, dijo que los actores de amenazas han implementado t\u00e9cnicas adicionales de antian\u00e1lisis y ofuscaci\u00f3n para hacerlo m\u00e1s dif\u00edcil de detectar y analizar.<\/p>\n

“Lo m\u00e1s importante es que Raspberry Robin contin\u00faa utilizando diferentes exploits para las vulnerabilidades antes o poco tiempo despu\u00e9s de que se revelaran p\u00fablicamente”, se\u00f1al\u00f3.<\/p>\n

“Esos exploits de un d\u00eda no se divulgaron p\u00fablicamente en el momento de su uso. Un exploit para una de las vulnerabilidades, CVE-2023-36802, tambi\u00e9n se utiliz\u00f3 en la naturaleza como un d\u00eda cero y se vendi\u00f3 en la web oscura. “<\/p>\n

Un informe de Cyfirma a finales del a\u00f1o pasado revel\u00f3<\/a> que un exploit para CVE-2023-36802<\/a> se anunciaba en foros de la web oscura en febrero de 2023. Esto fue siete meses antes de que Microsoft y CISA publicaran un aviso sobre explotaci\u00f3n activa. El fabricante de Windows lo parch\u00f3 en septiembre de 2023.<\/p>\n

\"Malware<\/a><\/div>\n

Se dice que Raspberry Robin comenz\u00f3 a utilizar un exploit para la falla en alg\u00fan momento de octubre de 2023, el mismo mes en que se puso a disposici\u00f3n un c\u00f3digo de exploit p\u00fablico, as\u00ed como para CVE-2023-29360<\/a> en agosto. Este \u00faltimo se revel\u00f3 p\u00fablicamente en junio de 2023, pero no apareci\u00f3 un exploit para el error hasta septiembre de 2023.<\/p>\n

\"La<\/a><\/center><\/div>\n

Se eval\u00faa que los actores de amenazas compran estos exploits en lugar de desarrollarlos internamente debido al hecho de que se utilizan como un ejecutable externo de 64 bits y no est\u00e1n tan ofuscados como el m\u00f3dulo principal del malware.<\/p>\n

“La capacidad de Raspberry Robin para incorporar r\u00e1pidamente exploits recientemente revelados en su arsenal demuestra a\u00fan m\u00e1s un nivel de amenaza significativo, explotando vulnerabilidades antes de que muchas organizaciones hayan aplicado parches”, dijo la compa\u00f1\u00eda.<\/p>\n

Uno de los otros cambios significativos tiene que ver con la ruta de acceso inicial en s\u00ed, aprovechando archivos RAR no autorizados que contienen muestras de Raspberry Robin alojados en Discord.<\/p>\n

Tambi\u00e9n se modifica en las variantes m\u00e1s nuevas la l\u00f3gica de movimiento lateral, que ahora usa PAExec.exe en lugar de PsExec.exe, y el m\u00e9todo de comunicaci\u00f3n de comando y control (C2) al elegir aleatoriamente una direcci\u00f3n cebolla V3 de una lista de 60 cebollas codificadas. direcciones.<\/p>\n

“Empieza intentando contactar dominios Tor leg\u00edtimos y conocidos y comprobando si obtiene alguna respuesta”, explic\u00f3 Check Point. “Si no hay respuesta, Raspberry Robin no intenta comunicarse con los servidores C2 reales”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n