Raspberry Robin, USB sürücüler aracılığıyla yayılan kötü amaçlı bir solucandır ve tehdit aktörleri tarafından Windows sistemlerine gizli kötü amaçlı yazılım indirip yüklemek için aktif olarak kullanılmaktadır.
Bunun yanı sıra, tehdit aktörleri bu yazılımı ilk erişim, veri hırsızlığı, casusluk ve diğer kötü amaçlı yazılımların dağıtılması gibi çeşitli nedenlerle kullanır.
Check Point’teki siber güvenlik araştırmacıları yakın zamanda tehdit aktörlerinin bir Windows bileşeni olarak sunulan gizli Raspberry Robin’i aktif olarak kullandığını keşfetti.
Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.
Yerinizi Ayırın
Gizli Ahududu Robin
Raspberry Robin, 2021 yılında Red Canary tarafından keşfedilmiş olup, aktif dağıtım ve kaçırma taktikleriyle öne çıkmaktadır. Bu solucan, EvilCorp ve TA505 gibi suç gruplarıyla ilişkilidir ve ek kötü amaçlı yazılımların dağıtımı için ilk erişim aracısı olarak hizmet eder.
Ekim ayından bu yana devam eden saldırılara rağmen Raspberry Robin, karmaşıklığı artıran yeni özellikler ve püf noktaları ekleyerek sürekli olarak gelişiyor.
Özellikle, Dark Web’de satılan CVE-2023-36802 gibi 0 günlükler de dahil olmak üzere güvenlik açıklarından yararlanarak analiz edilmesini zorlaştırıyor.
Raspberry Robin daha önce yayılmak için LNK’leri ve ağ paylaşımlarını kullanmıştı. Artık Discord’dan indirilen File.Chapter-1.rar adlı RAR dosyalarında saklanıyor. OleView.exe kötü amaçlı DLL dosyasını yükler.
Saldırganlar OleView.exe’yi yandan yükleme için seviyor çünkü çalışması için bir DLL dosyasına ihtiyaç duyuyor ve çoğu zaman yalnızca diskte bulunmuyor. Ancak bazı güvenlik çözümleri Microsoft imzalı DLL’lere güvenir.
Raspberry Robin, belirli Windows sürümlerini hedef alarak şifrelenmiş çekirdek LPE açıklarından yararlanarak ayrıcalıkları yükseltiyor. Yeni örnekler, KernelCallbackTable enjeksiyonunu kullanarak cleanmgr.exe’ye açıklardan yararlanıyor.
Bellekteki benzersiz bir yükleyici, istismarla birlikte harici bir PE yüklüyor ve artık Microsoft Streaming Service Proxy’deki bir Tür Karışıklığı güvenlik açığı olan CVE-2023-36802’yi hedefliyor.
Bu, yerel saldırganların SİSTEM ayrıcalıklarına yükselmesine olanak tanır. CVE, 12 Eylül’de, sömürülen grup hakkında hiçbir bilgi olmadan, 0 gün olmadan önce vahşi doğada sömürüldüğünü açıkladı.
Bu istismar, Windows sürümüne göre uzaklıkları uyarlayarak 22621 derlemesine kadar Windows 10’u hedefliyor. EPROCESS adresleri NtQuerySystemInformation API ve SYSTEM_HANDLE yapıları aracılığıyla elde edilir.
Daha sonra UuidCreate ve UuidToStringW API’leri ile rastgele bir kanal adı oluşturur. Akış, 19044’ün altındaki veya üstündeki Windows sürümleri için farklılık gösterir.
Bunun yanı sıra, Raspberry Robin’in bunu 0 gün olarak kullandığına dair hiçbir kanıt yok, sadece 1 gün olarak, bu da ön açıklama analizini harekete geçiriyor.
Ekim ayından önce Raspberry Robin, Haziran ayında açıklanan CVE-2023-29360 açığını Ağustos ayında kullanmıştı. Bu istismarın hızlı kullanımı yazarın verimliliğini gösterir.
Bununla birlikte, yükleyici ve dize gizlemede CVE-2023-36802 istismarıyla bazı benzerlikler mevcuttur. Her iki güvenlik açığı da mskssrv.sys dosyasını hedef alıyor ve bu da sürücü araştırmasının devam ettiğini gösteriyor.
Raspberry Robin’in daha hızlı yararlanma eğilimi, nadir görülen Windows güncellemelerinden yararlanmayı amaçlıyor ve bu da güvenlik açığına maruz kalmayı en üst düzeye çıkarmaya yardımcı oluyor.
Raspberry Robin, gelişen kaçınma yöntemlerini kullanarak sanal makinelerden aktif olarak kaçıyor. Bu solucanın, yeni hileler ekleyerek, benzersiz özellikler ekleyerek ve halka açıklanmadan önce Dark Web’den edinilen 0 günlük bir istismardan yararlanarak varlığını sürdürmesi bekleniyor.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.