Pronađena je nova verzija crva Raspberry Robin koja iskorištava dvije nove jednodnevne ranjivosti za pokretanje prikrivenih napada. Prema izvještaju Check Pointa, napadi su trajali od oktobra 2023. godine, a ciljali su organizacije širom svijeta.
Nedavno je Raspberry Robin dospio na naslovnice zbog širenja svojih napada na finansijski sektor i sektor osiguranja u Evropi.
Tok napada
Lanac napada koristi Discord platformu za ispuštanje malicioznih datoteka pod nazivom ‘File.Chapter-1.rar’ na sisteme žrtava.
- Arhive sadrže digitalno potpisanu izvršnu datoteku (OleView.exe) i zlonamjernu DLL datoteku (aclui.dll) koja se bočno učitava kada žrtva pokrene izvršnu datoteku, čime se aktivira Raspberry Robin u sistemu.
- Kada se crv prvi put pokrene na računaru, on automatski koristi eksploatacije za ranjivosti u Microsoft Streaming Service Proxy (CVE-2023-36802) i Windows TPM upravljačkom programu uređaja (CVE-2023-29360) da pokrene napade eskalacije privilegija.
- Istraživači su otkrili da su operateri koji stoje iza malvera nabavili eksploatacije od prodavača eksploatacije ili njegovih autora gotovo odmah nakon njihovog otkrivanja.
Dodani su novi mehanizmi izbjegavanja
- Osim korištenja novih eksploata, nova varijanta ima i druge taktike izbjegavanja koje analizu čine izazovnom.
- To uključuje prekid specifičnih procesa povezanih sa UAC-om u Windows-u i implementaciju rutina koje koriste API-je, kao što su ‘AbortSystemShutdownW’ i ‘ShutdownBlockReasonCreate’, kako bi se spriječilo gašenje sistema.
- Nadalje, varijanta je promijenila način komunikacije i bočno kretanje kako ne bi bila uhvaćena.
Zaključak
Istraživači pretpostavljaju da će hakeri koji stoje iza malvera nastaviti koristiti nove eksploatacije kako bi proširili svoje napade. Kako malver nastavlja da razvija svoje mogućnosti nakon eksploatacije, dok ostaje ispod radara, organizacijama se savjetuje da budu u toku sa IOC-ovima povezanim sa malverom, kao što su korišteni hashovi, domeni u Tor mreži i Discord URL-ovi.
Izvor: Cyware Alerts – Hacker News
