Il malware, avvistato per la prima volta nel settembre 2021, ha preso di mira organizzazioni nei settori tecnologico e manifatturiero. Utilizza cmd.exe per leggere ed eseguire un file memorizzato sul disco esterno infetto e impiega msiexec.exe per la comunicazione di rete esterna con un dominio canaglia usato come C2 per scaricare e installare un file di libreria DLL.
I ricercatori di Checkpoint hanno dettagliato l’evoluzione di Raspberry Robin, notando che i suoi autori hanno integrato questi nuovi exploit, indicando l’accesso a un venditore di exploit o lo sviluppo degli exploit da parte degli autori del malware. Il malware è stato aggiornato con nuove funzionalità e supporta nuove capacità di evasione, cambiando il suo metodo di comunicazione e il movimento laterale per evitare il rilevamento.
Una delle vulnerabilità, CVE-2023-36802, è un problema di Type Confusion nel Microsoft Streaming Service Proxy, che consente agli aggressori locali di incrementare i privilegi a SYSTEM. Questa vulnerabilità è stata divulgata il 12 settembre, ma era stata sfruttata in the wild prima di diventare uno zero-day. L’analisi dei campioni prima di ottobre ha rivelato che gli operatori hanno anche utilizzato un exploit per CVE-2023-29360, che è stato divulgato pubblicamente a giugno e impiegato da Raspberry Robin ad agosto.
Il rapporto conclude che gli operatori di Raspberry Robin probabilmente hanno acquistato gli exploit 1-day da uno sviluppatore di exploit, basandosi su diverse osservazioni, inclusa l’uso degli exploit come eseguibile esterno a 64 bit e la mancanza di pesante offuscamento e appiattimento del flusso di controllo negli exploit rispetto al componente principale di Raspberry Robin.
Source: Securityaffairs
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.