De exploitanten van Frambozen Robin maken nu gebruik van twee nieuwe eendaagse exploits om lokale escalatie van bevoegdheden te bewerkstelligen, ook al wordt de malware steeds verder verfijnd en verbeterd om deze onopvallender te maken dan voorheen.
Dit betekent dat “Raspberry Robin toegang heeft tot een exploitverkoper of dat de auteurs de exploits zelf in korte tijd ontwikkelen”, zei Check Point deze week in een rapport.
Raspberry Robin (ook bekend als QNAP-worm), voor het eerst gedocumenteerd in 2021, is een ontwijkende malwarefamilie waarvan bekend is dat deze fungeert als een van de beste initiële toegangsfacilitators voor andere kwaadaardige ladingen, waaronder ransomware.
Toegeschreven aan een bedreigingsacteur genaamd Storm-0856 (voorheen DEV-0856), wordt het verspreid via verschillende toegangsvectoren, waaronder geïnfecteerde USB-drives, waarbij Microsoft het beschrijft als onderdeel van een “complex en onderling verbonden malware-ecosysteem” dat banden heeft met andere e-criminaliteit. groepen als Evil Corp, Silence en TA505.
Het gebruik door Raspberry Robin van eendaagse exploits zoals CVE-2020-1054 en CVE-2021-1732 voor escalatie van bevoegdheden werd eerder benadrukt door Check Point in april 2023.
Het cyberbeveiligingsbedrijf, dat sinds oktober 2023 ‘grote golven van aanvallen’ heeft gedetecteerd, zegt dat de dreigingsactoren aanvullende anti-analyse- en verduisteringstechnieken hebben geïmplementeerd om het moeilijker te maken om deze te detecteren en te analyseren.
“Het allerbelangrijkste is dat Raspberry Robin verschillende exploits blijft gebruiken voor kwetsbaarheden, vóór of kort nadat ze openbaar zijn gemaakt”, aldus het rapport.
“Die one-day exploits werden op het moment van gebruik niet openbaar gemaakt. Een exploit voor een van de kwetsbaarheden, CVE-2023-36802, werd ook in het wild als zero-day gebruikt en op het dark web verkocht. “
Uit een rapport van Cyfirma eind vorig jaar bleek dat er in februari 2023 op dark web-forums werd geadverteerd voor een exploit voor CVE-2023-36802. Dit was zeven maanden voordat Microsoft en CISA een advies uitbrachten over actieve exploitatie. Het werd in september 2023 gepatcht door de Windows-maker.
Raspberry Robin zou ergens in oktober 2023 zijn begonnen met het gebruik van een exploit voor de fout, dezelfde maand dat een openbare exploitcode beschikbaar werd gesteld, en ook voor CVE-2023-29360 in augustus. Dit laatste werd in juni 2023 openbaar gemaakt, maar een exploit voor de bug verscheen pas in september 2023.
Er wordt aangenomen dat de bedreigingsactoren deze exploits kopen in plaats van ze intern te ontwikkelen, vanwege het feit dat ze worden gebruikt als een extern 64-bits uitvoerbaar bestand en niet zo zwaar versluierd zijn als de kernmodule van de malware.
“Het vermogen van Raspberry Robin om snel nieuw onthulde exploits in zijn arsenaal op te nemen, toont verder een aanzienlijk dreigingsniveau aan, waarbij kwetsbaarheden worden uitgebuit voordat veel organisaties patches hebben toegepast”, aldus het bedrijf.
Een van de andere belangrijke veranderingen betreft het initiële toegangspad zelf, waarbij gebruik wordt gemaakt van frauduleuze RAR-archiefbestanden met Raspberry Robin-samples die worden gehost op Discord.
Ook aangepast in de nieuwere varianten is de laterale bewegingslogica, die nu PAExec.exe gebruikt in plaats van PsExec.exe, en de command-and-control (C2) communicatiemethode door willekeurig een V3-ui-adres te kiezen uit een lijst van 60 hardgecodeerde uien adressen.
“Het begint met proberen contact te maken met legitieme en bekende Tor-domeinen en te controleren of er antwoord wordt ontvangen”, legt Check Point uit. “Als er geen reactie komt, probeert Raspberry Robin niet te communiceren met de echte C2-servers.”
