Впервые замеченный в сентябре 2021 года, он нацелился на организации в технологической и производственной отраслях. Он использует cmd.exe для чтения и выполнения файла, сохраненного на зараженном внешнем диске, и применяет msiexec.exe для внешней сетевой коммуникации с мошенническим доменом, используемым как C2 для загрузки и установки файла библиотеки DLL.
Исследователи из Checkpoint подробно описали эволюцию Raspberry Robin, отмечая, что его авторы интегрировали эти новые эксплойты, что указывает на доступ к продавцу эксплойтов или разработку эксплойтов самими авторами вредоносного ПО. Вредоносное ПО было обновлено с новыми функциями и поддерживает новые возможности уклонения, изменяя свой метод коммуникации и бокового перемещения, чтобы избежать обнаружения.
Одна из уязвимостей, CVE-2023-36802, является проблемой путаницы типов в Microsoft Streaming Service Proxy, позволяющая локальным атакующим повысить свои привилегии до SYSTEM. Эта уязвимость была раскрыта 12 сентября, но уже использовалась в реальных условиях до того, как стала zero-day. Анализ образцов до октября показал, что операторы также использовали эксплойт для CVE-2023-29360, который был обнародован в июне и использован Raspberry Robin в августе.
Отчет заключает, что операторы Raspberry Robin, вероятно, приобрели эксплойты 1-Day у разработчика эксплойтов, на основании нескольких наблюдений, включая использование эксплойтов в виде внешнего 64-битного исполняемого файла и отсутствие серьезного затемнения и выравнивания потока управления в эксплойтах по сравнению с основным компонентом Raspberry Robin.
Source: Securityaffairs
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.