Siber güvenlik manzarası, Roshtyak olarak da bilinen sofistike bir kötü amaçlı yazılım indiricisi olan Raspberry Robin, gelişmiş yetenek ve kaçınma tekniklerine sahip Windows sistemlerine karşı kampanyasını sürdürdüğü için kalıcı bir tehditle karşı karşıya.
İlk olarak 2021’de tanımlanan bu USB tarafından öngörülen kötü amaçlı yazılımlar, öncelikle enfekte edilmiş çıkarılabilir depolama cihazları aracılığıyla kurumsal ortamları hedefleyen dikkate değer esneklik ve uyarlanabilirlik göstermiştir.
Raspberry Robin’in enfeksiyon vektörü, orijinal dağıtım stratejisi ile tutarlı olarak kalır ve hedef ağlara sızmak için tehlikeye atılan USB cihazlarından yararlanır.
Uygulandıktan sonra, kötü amaçlı yazılım kalıcılık oluşturur ve TOR ağları aracılığıyla komut ve kontrol altyapısı ile iletişim kurmaya çalışır.
.webp)
Kötü amaçlı yazılım operatörleri, geleneksel tespit mekanizmalarına meydan okuyan ve ters mühendislik çabalarını karmaşıklaştıran sofistike gizleme yöntemleri uygulayarak yaklaşımlarını sürekli olarak geliştirdiler.
Zscaler araştırmacıları, özellikle ortak günlük dosya sistemi sürücüsünün kırılganlığını hedefleyen yerel bir ayrıcalık artış istismarı olan CVE-2024-38196’nın entegrasyonuna dikkat çekerek, Raspberry Robin mimarisinde önemli evrimsel değişiklikler belirlediler.
.webp)
Bu kritik ekleme, kötü amaçlı yazılımın tehlike altına alınmış sistemler üzerindeki ayrıcalıklarını yükseltmesini sağlar ve potansiyel olarak daha derin sistem sızmasına yönelik yönetici düzeyinde erişim sağlar.
Kötü amaçlı yazılımların iletişim altyapısı, AES-CTR şifrelemesinden ağ veri koruması için daha sağlam ChaCha-20 algoritmasına geçiş yaparak önemli değişiklikler geçirmiştir.
.webp)
Bu şifreleme değişikliği, istek başına rastgele oluşturulan sayaç ve nonce değerleri ile birleştiğinde, kötü amaçlı yazılımların ağ tabanlı algılama sistemlerinden kaçınma yeteneğini önemli ölçüde artırır.
Gelişmiş gizleme ve kalıcılık mekanizmaları
En son ahududu Robin varyantları, analiz çabalarını hayal kırıklığına uğratmak için tasarlanmış sofistike gizleme tekniklerini içerir.
Kötü amaçlı yazılım artık düzleştirilmiş kontrol akışı içeren fonksiyonlar içinde birden fazla başlatma döngüsü uygular ve daha önce daha önceki sürümlere karşı başarılı olan kaba kuvvet şifre çözme girişimlerini etkili bir şekilde etkisiz hale getirir.
struct encryptionInfo
{
uint32_t nonce_part2;
uint32_t nonce_part3;
uint32_t counter;
uint32_t nonce_part1;
};Ek olarak, kötü amaçlı yazılım, standart ayrışma süreçlerini bozarak ve uygun analiz için güvenlik analistlerinden manuel müdahale gerektiren gizlenmiş yığın işaretçileri ve koşullu ifadeler kullanır.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin