Los operadores de Petirrojo frambuesa Ahora están utilizando dos nuevos exploits de un día para lograr una escalada de privilegios locales, incluso cuando el malware continúa refinándose y mejorándose para hacerlo más sigiloso que antes.
Esto significa que «Raspberry Robin tiene acceso a un vendedor de exploits o sus autores desarrollan los exploits ellos mismos en un corto período de tiempo», Check Point dicho en un informe esta semana.
Raspberry Robin (también conocido como gusano QNAP), documentado por primera vez en 2021, es un familia de malware evasivo que es conocido por actuar como uno de los principales facilitadores de acceso inicial para otras cargas maliciosas, incluido el ransomware.
Atribuido a un actor de amenazas llamado Storm-0856 (anteriormente DEV-0856), se propaga a través de varios vectores de entrada, incluidas unidades USB infectadas, con Microsoft describiendo como parte de un «ecosistema de malware complejo e interconectado» con vínculos con otros grupos de delitos electrónicos como Evil Corp, Silencio y TA505.
El uso por parte de Raspberry Robin de exploits de un día como CVE-2020-1054 y CVE-2021-1732 para escalar privilegios fue previamente resaltado por Check Point en abril de 2023.
La firma de ciberseguridad, que detectó «grandes oleadas de ataques» desde octubre de 2023, dijo que los actores de amenazas han implementado técnicas adicionales de antianálisis y ofuscación para hacerlo más difícil de detectar y analizar.
«Lo más importante es que Raspberry Robin continúa utilizando diferentes exploits para las vulnerabilidades antes o poco tiempo después de que se revelaran públicamente», señaló.
«Esos exploits de un día no se divulgaron públicamente en el momento de su uso. Un exploit para una de las vulnerabilidades, CVE-2023-36802, también se utilizó en la naturaleza como un día cero y se vendió en la web oscura. «
Un informe de Cyfirma a finales del año pasado reveló que un exploit para CVE-2023-36802 se anunciaba en foros de la web oscura en febrero de 2023. Esto fue siete meses antes de que Microsoft y CISA publicaran un aviso sobre explotación activa. Fue parcheado por el fabricante de Windows en septiembre de 2023.
Se dice que Raspberry Robin comenzó a utilizar un exploit para la falla en algún momento de octubre de 2023, el mismo mes en que se puso a disposición un código de exploit público, así como para CVE-2023-29360 en agosto. Este último se reveló públicamente en junio de 2023, pero no apareció un exploit para el error hasta septiembre de 2023.
Se evalúa que los actores de amenazas compran estos exploits en lugar de desarrollarlos internamente debido al hecho de que se utilizan como un ejecutable externo de 64 bits y no están tan ofuscados como el módulo principal del malware.
«La capacidad de Raspberry Robin para incorporar rápidamente exploits recientemente revelados en su arsenal demuestra aún más un nivel de amenaza significativo, explotando vulnerabilidades antes de que muchas organizaciones hayan aplicado parches», dijo la compañía.
Uno de los otros cambios significativos tiene que ver con la ruta de acceso inicial en sí, aprovechando archivos RAR no autorizados que contienen muestras de Raspberry Robin alojados en Discord.
También se modifica en las variantes más nuevas la lógica de movimiento lateral, que ahora usa PAExec.exe en lugar de PsExec.exe, y el método de comunicación de comando y control (C2) al elegir aleatoriamente una dirección cebolla V3 de una lista de 60 cebollas codificadas. direcciones.
«Empieza intentando contactar dominios Tor legítimos y conocidos y comprobando si obtiene alguna respuesta», explicó Check Point. «Si no hay respuesta, Raspberry Robin no intenta comunicarse con los servidores C2 reales».