Seleziona una pagina

Da Punto-Informatico.it :

Gli esperti di Check Point Research hanno individuato una versione recente del malware Raspberry Robin che utilizza due exploit 1-day per effettuare gli attacchi. Il codice è stato inoltre aggiornato per includere nuove funzionalità e tecniche di evasione. La distribuzione avviene ora con archivi RAR scaricati da Discord, invece che tramite drive USB.

Più pericoloso e invisibile

Raspberry Robin, scoperto per la prima volta da Red Canary nel 2021, viene principalmente sfruttato per l’accesso iniziale alle reti da vari gruppi di cybercriminali, tra cui EvilCorp, TA505 e Clop. Durante gli attacchi più recenti è cambiato il metodo di distribuzione. Invece dei drive USB sono stati usati file RAR scaricati da Discord.

All’interno degli archivi ci sono due file: OleView.exe e aclui.dll. Tramite la tecnica del side-loading, l’eseguibile carica in memoria la DLL infetta che attiva Raspberry Robin. Il malware esegue quindi l’elevazione dei privilegi sfruttando le vulnerabilità CVE-2023-36802 e CVE-2023-29360 di Microsoft Streaming Service Proxy e Windows TPM Device Driver.

I cybercriminali hanno usato i corrispondenti exploit 1-day subito dopo la conferma delle vulnerabilità e prima dell’applicazione delle patch alla maggioranza dei sistemi. Ciò significa che sono in grado di scrivere il codice o hanno acquistato gli exploit nel dark web, risparmiando rispetto agli exploit 0-day.

Le ultime varianti del malware includono nuove tecniche di evasione che ostacolano l’analisi del codice e la rilevazione da parte delle soluzioni di sicurezza. Per il movimento laterale e il download del payload viene ora usato il tool PAExec, invece di PsExec. Le funzionalità sono simili (permette l’esecuzione di processi sul sistema remoto), ma il primo è meno noto del secondo.

Il collegamento al server C2 (command and control) avviene scegliendo in maniera causale un dominio Tor tra i 60 presenti nel codice. Il malware e le URL di Discord sono bloccati dai vari antivirus, ma l’autore di Raspberry Robin continua ad aggiornare il codice per aggirare le protezioni.



Fonte Punto Informatico Source link