Home Sociedad El malware Raspberry Robin se actualiza con Discord Spread y nuevos exploits

El malware Raspberry Robin se actualiza con Discord Spread y nuevos exploits

Los operadores de Raspberry Robin ahora están utilizando dos nuevos exploits de un día para lograr una escalada de privilegios locales, incluso mientras el malware continúa refinándose y mejorándose para hacerlo más sigiloso que antes.

Esto significa que “Raspberry Robin tiene acceso a un vendedor de exploits o sus autores desarrollan los exploits ellos mismos en un corto período de tiempo”, dijo Check Point en un informe esta semana.

Raspberry Robin (también conocido como gusano QNAP), documentado por primera vez en 2021, es una familia de malware evasivo conocida por actuar como uno de los principales facilitadores de acceso inicial para otras cargas maliciosas, incluido el ransomware.

Atribuido a un actor de amenazas llamado Storm-0856 (anteriormente DEV-0856), se propaga a través de varios vectores de entrada, incluidas unidades USB infectadas, y Microsoft lo describe como parte de un “ecosistema de malware complejo e interconectado” con vínculos con otros delitos electrónicos. grupos como Evil Corp, Silence y TA505.

Check Point destacó previamente el uso de Raspberry Robin de exploits de un día como CVE-2020-1054 y CVE-2021-1732 para la escalada de privilegios en abril de 2023.

La firma de ciberseguridad, que detectó “grandes oleadas de ataques” desde octubre de 2023, dijo que los actores de amenazas han implementado técnicas adicionales de antianálisis y ofuscación para hacerlo más difícil de detectar y analizar.

Se dice que Raspberry Robin comenzó a utilizar un exploit para la falla en algún momento de octubre de 2023, el mismo mes en que se puso a disposición un código de exploit público, así como para CVE-2023-29360 en agosto. Este último se reveló públicamente en junio de 2023, pero no apareció un exploit para el error hasta septiembre de 2023.

Se evalúa que los actores de amenazas compran estos exploits en lugar de desarrollarlos internamente debido al hecho de que se utilizan como un ejecutable externo de 64 bits y no están tan ofuscados como el módulo principal del malware.

Uno de los otros cambios significativos tiene que ver con la ruta de acceso inicial en sí, aprovechando archivos RAR no autorizados que contienen muestras de Raspberry Robin alojados en Discord.

También se modifica en las variantes más nuevas la lógica de movimiento lateral, que ahora usa PAExec.exe en lugar de PsExec.exe, y el método de comunicación de comando y control (C2) al elegir aleatoriamente una dirección cebolla V3 de una lista de 60 cebollas codificadas. direcciones.