Операторы Raspberry Robin теперь используют два новых однодневных эксплойта для достижения локального повышения привилегий, даже несмотря на то, что вредоносное ПО продолжает совершенствоваться, чтобы сделать его более незаметным, чем раньше.
Это означает, что "Raspberry Robin имеет доступ к продавцу эксплойтов или ее авторы сами разрабатывают эксплойты за короткий период времени", - говорится в отчете Check Point, опубликованном на этой неделе.
Raspberry Robin (он же червь QNAP), впервые задокументированный в 2021 году, представляет собой семейство вредоносных программ-уклонителей, которые, как известно, действуют как один из ведущих посредников начального доступа для других вредоносных программ, включая программы-вымогатели.
Приписываемый субъекту угрозы по имени Storm-0856 (ранее DEV-0856), он распространяется по нескольким векторам проникновения, включая зараженные USB-накопители, при этом Microsoft описывает его как часть "сложной и взаимосвязанной экосистемы вредоносного ПО", связанной с другими группами электронной преступности, такими как Evil Corp, Silence и TA505.
Использование Raspberry Robin однодневных эксплойтов, таких как CVE-2020-1054 и CVE-2021-1732, для повышения привилегий было ранее отмечено Check Point в апреле 2023 года.
Компания по кибербезопасности, которая обнаружила "большие волны атак" с октября 2023 года, заявила, что участники угрозы внедрили дополнительные методы антианализа и обфускации, чтобы затруднить обнаружение и анализ.
"Самое главное, что Raspberry Robin продолжает использовать различные эксплойты для уязвимостей либо до, либо вскоре после того, как они были публично раскрыты", - отмечается в нем.
"Эти однодневные эксплойты не были публично раскрыты на момент их использования. Эксплойт для одной из уязвимостей, CVE-2023-36802, также использовался в естественных условиях в качестве "нулевого дня" и продавался в темной сети."
Отчет Cyfirma в конце прошлого года показал, что эксплойт для CVE-2023-36802 рекламировался на форумах dark web в феврале 2023 года. Это было за семь месяцев до того, как Microsoft и CISA выпустили рекомендации по активному использованию. Оно было исправлено производителем Windows в сентябре 2023 года.
Говорят, что Raspberry Robin начала использовать эксплойт для уязвимости где-то в октябре 2023 года, в том же месяце был доступен общедоступный код эксплойта, а также для CVE-2023-29360 в августе. Последний был публично раскрыт в июне 2023 года, но эксплойт для исправления ошибки появился только в сентябре 2023 года.
Предполагается, что злоумышленники приобретают эти эксплойты, а не разрабатывают их собственными силами, поскольку они используются как внешний 64-разрядный исполняемый файл и не так сильно запутаны, как основной модуль вредоносной программы.
"Способность Raspberry Robin быстро включать в свой арсенал недавно раскрытые эксплойты еще раз демонстрирует значительный уровень угрозы, используя уязвимости до того, как многие организации применили исправления", - заявили в компании.
Одно из других существенных изменений касается самого начального пути доступа, использующего файлы RAR-архива, содержащие образцы Raspberry Robin, размещенные на Discord.
В новых версиях также изменена логика бокового перемещения, которая теперь использует PAExec.exe вместо PsExec.exe, а также метода связи command-and-control (C2) путем случайного выбора onion-адреса V3 из списка из 60 жестко закодированных onion-адресов.
"Все начинается с попытки связаться с законными и хорошо известными доменами Tor и проверки, получает ли она какой-либо ответ", - пояснил Check Point. "Если ответа нет, Raspberry Robin не пытается связаться с настоящими серверами C2".
Это означает, что "Raspberry Robin имеет доступ к продавцу эксплойтов или ее авторы сами разрабатывают эксплойты за короткий период времени", - говорится в отчете Check Point, опубликованном на этой неделе.
Raspberry Robin (он же червь QNAP), впервые задокументированный в 2021 году, представляет собой семейство вредоносных программ-уклонителей, которые, как известно, действуют как один из ведущих посредников начального доступа для других вредоносных программ, включая программы-вымогатели.
Приписываемый субъекту угрозы по имени Storm-0856 (ранее DEV-0856), он распространяется по нескольким векторам проникновения, включая зараженные USB-накопители, при этом Microsoft описывает его как часть "сложной и взаимосвязанной экосистемы вредоносного ПО", связанной с другими группами электронной преступности, такими как Evil Corp, Silence и TA505.
Использование Raspberry Robin однодневных эксплойтов, таких как CVE-2020-1054 и CVE-2021-1732, для повышения привилегий было ранее отмечено Check Point в апреле 2023 года.
Компания по кибербезопасности, которая обнаружила "большие волны атак" с октября 2023 года, заявила, что участники угрозы внедрили дополнительные методы антианализа и обфускации, чтобы затруднить обнаружение и анализ.
"Самое главное, что Raspberry Robin продолжает использовать различные эксплойты для уязвимостей либо до, либо вскоре после того, как они были публично раскрыты", - отмечается в нем.
"Эти однодневные эксплойты не были публично раскрыты на момент их использования. Эксплойт для одной из уязвимостей, CVE-2023-36802, также использовался в естественных условиях в качестве "нулевого дня" и продавался в темной сети."
Отчет Cyfirma в конце прошлого года показал, что эксплойт для CVE-2023-36802 рекламировался на форумах dark web в феврале 2023 года. Это было за семь месяцев до того, как Microsoft и CISA выпустили рекомендации по активному использованию. Оно было исправлено производителем Windows в сентябре 2023 года.
Говорят, что Raspberry Robin начала использовать эксплойт для уязвимости где-то в октябре 2023 года, в том же месяце был доступен общедоступный код эксплойта, а также для CVE-2023-29360 в августе. Последний был публично раскрыт в июне 2023 года, но эксплойт для исправления ошибки появился только в сентябре 2023 года.
Предполагается, что злоумышленники приобретают эти эксплойты, а не разрабатывают их собственными силами, поскольку они используются как внешний 64-разрядный исполняемый файл и не так сильно запутаны, как основной модуль вредоносной программы.
"Способность Raspberry Robin быстро включать в свой арсенал недавно раскрытые эксплойты еще раз демонстрирует значительный уровень угрозы, используя уязвимости до того, как многие организации применили исправления", - заявили в компании.
Одно из других существенных изменений касается самого начального пути доступа, использующего файлы RAR-архива, содержащие образцы Raspberry Robin, размещенные на Discord.
В новых версиях также изменена логика бокового перемещения, которая теперь использует PAExec.exe вместо PsExec.exe, а также метода связи command-and-control (C2) путем случайного выбора onion-адреса V3 из списка из 60 жестко закодированных onion-адресов.
"Все начинается с попытки связаться с законными и хорошо известными доменами Tor и проверки, получает ли она какой-либо ответ", - пояснил Check Point. "Если ответа нет, Raspberry Robin не пытается связаться с настоящими серверами C2".
