operatörleri Ahududu Robin Kötü amaçlı yazılım eskisinden daha gizli hale getirilecek şekilde iyileştirilip geliştirilmeye devam ederken, artık yerel ayrıcalık yükseltmeyi gerçekleştirmek için iki yeni bir günlük açıklardan yararlanılıyor.
Check Point bu haftaki bir raporunda bunun, “Raspberry Robin’in bir istismar satıcısına erişimi olduğu veya yazarlarının kısa bir süre içinde açıkları kendileri geliştirdiği” anlamına geldiğini belirtti.
İlk olarak 2021’de belgelenen Raspberry Robin (diğer adıyla QNAP solucanı), fidye yazılımı da dahil olmak üzere diğer kötü amaçlı yükler için en iyi ilk erişim kolaylaştırıcılarından biri olarak görev yaptığı bilinen, kaçmaya yönelik bir kötü amaçlı yazılım ailesidir.
Storm-0856 (önceki adıyla DEV-0856) adlı bir tehdit aktörüne atfedilen bu virüs, virüslü USB sürücüleri de dahil olmak üzere çeşitli giriş vektörleri aracılığıyla yayılıyor ve Microsoft bunu diğer e-suçlarla bağları olan “karmaşık ve birbirine bağlı kötü amaçlı yazılım ekosisteminin” bir parçası olarak tanımlıyor. Evil Corp, Silence ve TA505 gibi gruplar.
Raspberry Robin’in ayrıcalık yükseltme için CVE-2020-1054 ve CVE-2021-1732 gibi bir günlük açıklardan yararlandığı daha önce Nisan 2023’te Check Point tarafından vurgulanmıştı.
Ekim 2023’ten bu yana “büyük saldırı dalgaları” tespit eden siber güvenlik firması, tehdit aktörlerinin tespit ve analiz etmeyi zorlaştırmak için ek anti-analiz ve gizleme teknikleri uyguladığını söyledi.
“En önemlisi, Raspberry Robin, kamuya açıklanmadan önce veya kısa bir süre sonra güvenlik açıkları için farklı istismarlar kullanmaya devam ediyor” dedi.
“Bu bir günlük istismarlar, kullanıldıkları sırada kamuya açıklanmamıştı. Güvenlik açıklarından biri olan CVE-2023-36802’ye yönelik bir istismar da vahşi doğada sıfır gün olarak kullanıldı ve dark web’de satıldı. “
Geçen yılın sonlarında Cyfirma’dan gelen bir rapor, Şubat 2023’te karanlık web forumlarında CVE-2023-36802’ye yönelik bir istismarın reklamının yapıldığını ortaya çıkardı. Bu, Microsoft ve CISA’nın aktif istismara ilişkin bir tavsiye belgesi yayınlamasından yedi ay önceydi. Eylül 2023’te Windows üreticisi tarafından yama uygulandı.
Raspberry Robin’in, Ekim 2023’te kusura yönelik bir istismardan yararlanmaya başladığı söyleniyor; aynı ay, ağustos ayında CVE-2023-29360’ın yanı sıra halka açık bir yararlanma kodu da kullanıma sunuldu. İkincisi Haziran 2023’te kamuya açıklandı, ancak hataya yönelik bir istismar Eylül 2023’e kadar ortaya çıkmadı.
Tehdit aktörlerinin, harici 64 bit çalıştırılabilir bir dosya olarak kullanıldıkları ve kötü amaçlı yazılımın çekirdek modülü kadar yoğun bir şekilde gizlenmedikleri için, bu açıkları şirket içinde geliştirmek yerine satın aldıkları değerlendiriliyor.
Şirket, “Raspberry Robin’in yeni açıklanan güvenlik açıklarını hızlı bir şekilde cephaneliğine dahil etme yeteneği, birçok kuruluş yama uygulamadan önce güvenlik açıklarından yararlanarak önemli bir tehdit düzeyini daha da ortaya koyuyor” dedi.
Diğer önemli değişikliklerden biri, Discord’da barındırılan Raspberry Robin örneklerini içeren hileli RAR arşiv dosyalarından yararlanan ilk erişim yolunun kendisi ile ilgilidir.
Daha yeni varyantlarda ayrıca, artık PsExec.exe yerine PAExec.exe’yi kullanan yanal hareket mantığı ve 60 sabit kodlu soğan listesinden rastgele bir V3 soğan adresi seçilerek komut ve kontrol (C2) iletişim yöntemi de değiştirildi. adresler.
Check Point, “Bu, meşru ve iyi bilinen Tor alan adlarıyla iletişim kurmaya çalışmak ve herhangi bir yanıt alıp almadığını kontrol etmekle başlıyor” diye açıkladı. “Yanıt yoksa Raspberry Robin gerçek C2 sunucularıyla iletişim kurmaya çalışmaz.”