HACKING

Το Raspberry Robin malware εξελίσσεται με one-day exploits

This post was originally published on this site

Οι πρόσφατες εκδόσεις του Raspberry Robin malware είναι πιο εξελιγμένες και υλοποιούν εκμεταλλεύσεις one-day exploits, που εφαρμόζονται μόνο σε συστήματα που είναι ευάλωτα σε αυτές.

Δείτε επίσης: Κακόβουλα Google ads εξαπατούν τους χρήστες Mac να εγκαταστήσουν το Atomic Stealer malware

Σύμφωνα με έκθεση της Check Point, το Raspberry Robin πρόσφατα χρησιμοποίησε τουλάχιστον δύο one-day exploits, πράγμα που υποδηλώνει ότι ο φορέας malware είτε έχει την ικανότητα να αναπτύσσει τον κώδικα είτε διαθέτει πηγές που τον παρέχουν.

Το Raspberry Robin είναι ένα πρόσθετο που εντοπίστηκε για πρώτη φορά από τη Red Canary, μια εταιρεία διαχείρισης ανίχνευσης και απόκρισης, το 2021. Εξαπλώνεται κυρίως μέσω αφαιρούμενων αποθηκευτικών μέσων, όπως USB και δημιουργεί μια αρχική πρόσβαση σε μολυσμένα συστήματα για να διευκολύνει την εγκατάσταση επιπλέον φορτίων.

Έχει συνδεθεί με κακόβουλους παράγοντες όπως οι EvilCorp, FIN11, TA505, Clop ransomware και άλλες κακόβουλες επιχειρήσεις, αλλά οι δημιουργοί και οι διατηρητές του παραμένουν άγνωστοι.

Από την ανακάλυψή του, το Raspberry Robin malware συνεχώς εξελίσσεται, προσθέτοντας νέα χαρακτηριστικά, τεχνικές αποφυγής και υιοθετώντας διάφορες μεθόδους διανομής. Ένα παράδειγμα της τεχνικής αποφυγής που υιοθέτησε ήταν να απορρίπτει πλαστές παραδόσεις για να παραπλανήσει τους ερευνητές.

Η Check Point αναφέρει ότι παρατηρεί αύξηση στις επιθέσεις του Raspberry Robin από τον Οκτώβριο του 2023, με μεγάλα κύματα επιθέσεων να στοχεύουν συστήματα σε όλο τον κόσμο. Μια αλλαγή στις πρόσφατες εκστρατείες είναι η χρήση της πλατφόρμας Discord για τον ρίψη κακόβουλων αρχείων στον στόχο, πιθανώς μετά από αποστολή των συνδέσμων μέσω ηλεκτρονικού ταχυδρομείου.

Τα αρχεία περιλαμβάνουν ένα εκτελέσιμο αρχείο με υπογραφή (OleView.exe) και ένα κακόβουλο αρχείο DLL (aclui.dll) που φορτώνεται παράλληλα όταν ο θύμα τρέχει το εκτελέσιμο, ενεργοποιώντας το Raspberry Robin malware στο σύστημα.

Όταν εκτελείται για πρώτη φορά το Raspberry Robin σε έναν υπολογιστή, θα προσπαθήσει αυτόματα να αυξήσει τα δικαιώματα στη συσκευή χρησιμοποιώντας μια ποικιλία από one-day exploits.

Η Check Point επισημαίνει ότι η νέα εκστρατεία Raspberry Robin εκμεταλλεύεται τα CVE-2023-36802 και CVE-2023-29360, δύο ευπάθειες ανόδου προνομίων στις υπηρεσίες Microsoft Streaming Proxy και τον οδηγό συσκευής TPM των Windows. Και στις δύο περιπτώσεις, σύμφωνα με τους ερευνητές, το Raspberry Robin άρχισε να εκμεταλλεύεται τα ελαττώματα χρησιμοποιώντας μία άγνωστη ως τότε εκμετάλλευση, μόλις ένα μήνα μετά τη δημοσίευση των θεμάτων ασφαλείας στις 13 Ιουνίου και 12 Σεπτεμβρίου 2023.

Το CVE-2023-36802, το οποίο επιτρέπει σε επιτιθέμενους να ενισχύσουν τα προνόμιά τους σε επίπεδο SYSTEM, η Cyfirma ανέφερε ότι ένα exploit ήταν διαθέσιμο προς αγορά στο Dark Web από τον Φεβρουάριο του 2023, επτά μήνες πριν από την αναγνώριση και αντιμετώπιση του προβλήματος από τη Microsoft.

Αυτή η χρονολογία υποδηλώνει ότι το Raspberry Robin malware αποκτά τα one-day exploits από εξωτερικές πηγές σχεδόν αμέσως μετά τη δημοσίευσή τους, καθώς το κόστος τους ως zero days είναι πιθανόν υπερβολικά υψηλό ακόμα και για μεγαλύτερες εγκληματικές επιχειρήσεις.

Δείτε ακόμα: Νέα Python παραλλαγή του Chaes Malware στοχεύει τραπεζικές και logistic βιομηχανίες

Στην έκθεσή της, η Check Point αναδεικνύει επίσης αρκετές προηγμένες εξελίξεις στις τελευταίες εκδόσεις των Raspberry Robin, που περιλαμβάνουν νέους μηχανισμούς αντι-ανάλυσης, αποφυγής και πλευρικής κίνησης.

one-day exploits

Για να αποφεύγει τα εργαλεία ασφαλείας και τις άμυνες του λειτουργικού συστήματος, το κακόβουλο λογισμικό προσπαθεί τώρα να τερματίσει συγκεκριμένες διεργασίες όπως το ‘runlegacycplelevated.exe‘, που σχετίζονται με τον Έλεγχο του Λογαριασμού Χρηστών (UAC), και παρεμβαίνει στο API NtTraceEvent για να αποφύγει την ανίχνευση από την Event Tracing for Windows (ETW).

Επιπλέον, το Raspberry Robin ελέγχει τώρα εάν συγκεκριμένα APIs, όπως το ‘GetUserDefaultLangID‘ και το ‘GetModuleHandleW‘, έχουν προσδιοριστεί από την πρώτη λέξη της συνάρτησης API για να ανιχνεύσει οποιεσδήποτε διεργασίες παρακολούθησης από προϊόντα ασφαλείας.

Μια ακόμα ενδιαφέρουσα νέα τακτική είναι η χρήση ρουτίνας που χρησιμοποιεί τα APIs “AbortSystemShutdownW” και “ShutdownBlockReasonCreate” για να αποτρέψει το κλείσιμο του συστήματος που θα μπορούσε να διακόψει τη δραστηριότητα του κακόβουλου λογισμικού.

Για να κρύψει τις διευθύνσεις διαχείρισης και ελέγχου (C2), το κακόβουλο λογισμικό πρώτα επικοινωνεί τυχαία με έναν από τους 60 προκαθορισμένους τομείς Tor που αναφέρονται σε γνωστές ιστοσελίδες, προκειμένου να φαίνεται ότι οι αρχικές επικοινωνίες είναι αθώες.

Τελικά, το Raspberry Robin malware χρησιμοποιεί πλέον το PAExec.exe αντί του PsExec.exe για να κατεβάσει το φορτίο απευθείας από την τοποθεσία φιλοξενίας. Αυτή η απόφαση πιθανώς λήφθηκε για να αυξήσει την αόρατη παρουσία του, καθώς το PsExec.exe είναι γνωστό ότι εκμεταλλεύεται από χάκερς.

Οι ερευνητές πιστεύουν ότι το Raspberry Robin θα συνεχίσει να εξελίσσεται και να προσθέτει νέες εκμεταλλεύσεις στο οπλοστάσιο του, αναζητώντας κώδικα που δεν έχει δημοσιευθεί ακόμα. Με βάση τις παρατηρήσεις κατά τη διάρκεια της ανάλυσης του κακόβουλου λογισμικού, πιθανώς οι υπεύθυνοι για το κακόβουλο λογισμικό δεν αποτελούν σύνδεση με έναν προγραμματιστή που παρέχει τον κώδικα εκμετάλλευσης.

Η έκθεση της Check Point παρέχει μια λίστα με ενδείξεις συμβιβασμού για το Raspberry Robin, η οποία περιλαμβάνει κατακερματισμούς για το κακόβουλο λογισμικό, πολλαπλούς τομείς στο δίκτυο Tor και διευθύνσεις URL του Discord για τη λήψη του κακόβουλου αρχείου.

Δείτε επίσης: Οι εφαρμογές πληρωμών κινδυνεύουν από Malware επιθέσεις!

Ποια είναι η έννοια των one-day exploits;

Τα one-day exploits αναφέρονται σε ευπάθειες που ανακαλύπτονται και εκμεταλλεύονται εντός μιας ημέρας. Αυτό σημαίνει ότι οι επιτιθέμενοι εκμεταλλεύονται αυτές τις ευπάθειες πριν οι κατασκευαστές λογισμικού έχουν την ευκαιρία να δημιουργήσουν και να διανείμουν επιδιορθώσεις.

Αυτό είναι εξαιρετικά επικίνδυνο για τις ψηφιακές περιουσίες, καθώς οι επιθέσεις αυτού του είδους μπορούν να προκαλέσουν σημαντικές ζημιές πριν υπάρξει η δυνατότητα αντίδρασης. Τα one-day exploits είναι επίσης δύσκολο να ανιχνευθούν, καθώς είναι σχεδιασμένα για να αξιοποιούν τις ευπάθειες που δεν είναι ακόμη γνωστές στο ευρύ κοινό.

Για την προστασία από τα one-day exploits, είναι σημαντικό να διατηρούνται τα συστήματα ενημερωμένα και να χρησιμοποιούνται εργαλεία ασφαλείας που μπορούν να ανιχνεύσουν και να μπλοκάρουν τις απειλές πριν προκαλέσουν ζημιά. Επίσης, η εκπαίδευση του προσωπικού σε θέματα ασφάλειας μπορεί να βοηθήσει στην πρόληψη των επιθέσεων αυτού του είδους.

Πηγή: bleepingcomputer

https://www.secnews.gr/security/

%d bloggers like this: