El malware, detectat per primera vegada al setembre de 2021, ha estat atacant organitzacions en els sectors tecnològic i de fabricació. Utilitza cmd.exe per llegir i executar un arxiu emmagatzemat en la unitat externa infectada i empra msiexec.exe per a la comunicació de xarxa externa amb un domini maliciós utilitzat com a C2 per descarregar i instal·lar un arxiu de biblioteca DLL.
Investigadors de Checkpoint han detallat l’evolució de Raspberry Robin, assenyalant que els seus autors han integrat aquests nous exploits, la qual cosa indica accés a un venedor d’exploits o el desenvolupament dels exploits per part dels autors del malware. El malware ha estat actualitzat amb noves característiques i suporta noves capacitats d’evasió, canviant el seu mètode de comunicació i moviment lateral per evitar la detecció.
Una de les vulnerabilitats, CVE-2023-36802, és un problema de confusió de tipus al Microsoft Streaming Service Proxy, que permet als atacants locals escalar privilegis a SYSTEM. Aquesta vulnerabilitat va ser divulgada el 12 de setembre, però ja havia estat explotada abans de convertir-se en un zero-day. L’anàlisi de mostres abans d’octubre va revelar que els operadors també van utilitzar un exploit per a CVE-2023-29360, que va ser divulgat públicament al juny i emprat per Raspberry Robin a l’agost.
L’informe conclou que els operadors de Raspberry Robin probablement van comprar els exploits de 1-Day d’un desenvolupador d’exploits, basant-se en diverses observacions, incloent l’ús dels exploits com un executable extern de 64 bits i la falta d’ofuscació pesada i aplanament del flux de control en els exploits en comparació amb el component principal de Raspberry Robin.
Source: Securityaffairs
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.