Phần mềm độc hại, lần đầu tiên được phát hiện vào tháng 9 năm 2021, đã nhắm mục tiêu vào các tổ chức trong ngành công nghệ và sản xuất. Nó sử dụng cmd.exe để đọc và thực thi một tệp được lưu trữ trên ổ đĩa ngoại vi bị nhiễm và sử dụng msiexec.exe cho giao tiếp mạng ngoại vi với một miền giả mạo được sử dụng như C2 để tải xuống và cài đặt một tệp thư viện DLL.
Các nhà nghiên cứu từ Checkpoint đã chi tiết hóa sự phát triển của Raspberry Robin, lưu ý rằng các tác giả của nó đã tích hợp các exploit mới này, cho thấy quyền truy cập vào một người bán exploit hoặc việc phát triển các exploit bởi chính các tác giả phần mềm độc hại. Phần mềm độc hại đã được cập nhật với các tính năng mới và hỗ trợ các khả năng lẩn tránh mới, thay đổi phương thức giao tiếp và di chuyển bên cạnh để tránh bị phát hiện.
Một trong các lỗ hổng, CVE-2023-36802, là một vấn đề nhầm lẫn loại trong Microsoft Streaming Service Proxy, cho phép kẻ tấn công địa phương nâng cao quyền lên SYSTEM. Lỗ hổng này được công bố vào ngày 12 tháng 9, nhưng đã bị khai thác trước khi trở thành một zero-day. Phân tích các mẫu trước tháng 10 cho thấy các điều hành viên cũng đã sử dụng một exploit cho CVE-2023-29360, được công bố công khai vào tháng 6 và được Raspberry Robin sử dụng vào tháng 8.
Báo cáo kết luận rằng các điều hành viên của Raspberry Robin có khả năng đã mua các exploit 1-Day từ một nhà phát triển exploit, dựa trên một số quan sát, bao gồm việc sử dụng các exploit như một tệp thực thi bên ngoài 64-bit và thiếu obfuscation nặng nề và làm phẳng luồng điều khiển trong các exploit so với thành phần chính của Raspberry Robin.
Source: Securityaffairs
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.