Les opérateurs de Rouge-gorge Framboise utilisent désormais deux nouveaux exploits d’une journée pour obtenir une élévation de privilèges locale, même si le logiciel malveillant continue d’être affiné et amélioré pour le rendre plus furtif qu’auparavant.
Cela signifie que « Raspberry Robin a accès à un vendeur d’exploits ou que ses auteurs développent eux-mêmes les exploits dans un court laps de temps », indique Check Point. dit dans un rapport cette semaine.
Raspberry Robin (alias ver QNAP), documenté pour la première fois en 2021, est une famille de logiciels malveillants évasifs connue pour agir comme l’un des meilleurs facilitateurs d’accès initial pour d’autres charges utiles malveillantes, y compris les ransomwares.
Attribué à un acteur malveillant nommé Storm-0856 (anciennement DEV-0856), il se propage via plusieurs vecteurs d’entrée, notamment des clés USB infectées, Microsoft le décrivant comme faisant partie d’un « écosystème de logiciels malveillants complexe et interconnecté » ayant des liens avec d’autres cybercrimes. des groupes comme Evil Corp, Silence et TA505.
L’utilisation par Raspberry Robin d’exploits d’un jour tels que CVE-2020-1054 et CVE-2021-1732 pour l’élévation de privilèges a été précédemment mis en évidence par Check Point en avril 2023.
La société de cybersécurité, qui a détecté de « grandes vagues d’attaques » depuis octobre 2023, a déclaré que les acteurs de la menace ont mis en œuvre des techniques supplémentaires d’anti-analyse et d’obscurcissement pour rendre plus difficile la détection et l’analyse.
« Plus important encore, Raspberry Robin continue d’utiliser différents exploits pour des vulnérabilités avant ou peu de temps après leur divulgation publique », note-t-il.
« Ces exploits d’une journée n’ont pas été divulgués publiquement au moment de leur utilisation. Un exploit pour l’une des vulnérabilités, CVE-2023-36802, a également été utilisé dans la nature comme un jour zéro et a été vendu sur le dark web. «
Un rapport de Cyfirma à la fin de l’année dernière révélé qu’un exploit pour CVE-2023-36802 était annoncé sur les forums du Dark Web en février 2023. C’était sept mois avant que Microsoft et CISA ne publient un avis sur l’exploitation active. Il a été corrigé par le fabricant de Windows en septembre 2023.
Raspberry Robin aurait commencé à utiliser un exploit pour la faille en octobre 2023, le même mois où un code d’exploitation public a été rendu disponible, ainsi que pour CVE-2023-29360 en août. Ce dernier a été divulgué publiquement en juin 2023, mais un exploit pour le bug n’est apparu qu’en septembre 2023.
Il a été estimé que les auteurs de la menace achètent ces exploits plutôt que de les développer en interne, car ils sont utilisés comme un exécutable externe de 64 bits et ne sont pas aussi obscurcis que le module principal du malware.
« La capacité de Raspberry Robin à intégrer rapidement des exploits récemment divulgués dans son arsenal démontre en outre un niveau de menace important, exploitant les vulnérabilités avant que de nombreuses organisations n’appliquent des correctifs », a déclaré la société.
L’un des autres changements importants concerne la voie d’accès initiale elle-même, exploitant des fichiers d’archives RAR malveillants contenant des échantillons Raspberry Robin hébergés sur Discord.
La logique de mouvement latéral est également modifiée dans les variantes les plus récentes, qui utilise désormais PAExec.exe au lieu de PsExec.exe, ainsi que la méthode de communication de commande et de contrôle (C2) en choisissant au hasard une adresse d’oignon V3 dans une liste de 60 oignons codés en dur. adresses.
« Cela commence par essayer de contacter des domaines Tor légitimes et bien connus et de vérifier s’il obtient une réponse », a expliqué Check Point. « S’il n’y a pas de réponse, Raspberry Robin n’essaie pas de communiquer avec les vrais serveurs C2. »