El malware, detectado por primera vez en septiembre de 2021, ha estado atacando organizaciones en los sectores tecnológico y de manufactura. Usa cmd.exe para leer y ejecutar un archivo almacenado en la unidad externa infectada y emplea msiexec.exe para la comunicación de red externa con un dominio malicioso utilizado como C2 para descargar e instalar un archivo de biblioteca DLL.
Investigadores de Checkpoint han detallado la evolución de Raspberry Robin, señalando que sus autores han integrado estos nuevos exploits, lo que indica acceso a un vendedor de exploits o el desarrollo de los exploits por parte de los autores del malware. El malware ha sido actualizado con nuevas características y soporta nuevas capacidades de evasión, cambiando su método de comunicación y movimiento lateral para evitar la detección.
Una de las vulnerabilidades, CVE-2023-36802, es un problema de confusión de tipo en el Microsoft Streaming Service Proxy, que permite a los atacantes locales escalar privilegios a SYSTEM. Esta vulnerabilidad fue divulgada el 12 de septiembre, pero había sido explotada en el wild antes de convertirse en un zero-day. El análisis de muestras antes de octubre reveló que los operadores también utilizaron un exploit para CVE-2023-29360, que fue divulgado públicamente en junio y empleado por Raspberry Robin en agosto.
El informe concluye que los operadores de Raspberry Robin probablemente compraron los exploits de 1-Day de un desarrollador de exploits, basándose en varias observaciones, incluido el uso de los exploits como un ejecutable externo de 64 bits y la falta de obfuscación pesada y aplanamiento del flujo de control en los exploits en comparación con el componente principal de Raspberry Robin.
Source: Securityaffairs
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.