ΑρχικήSecurityΤο Raspberry Robin malware εξελίσσεται με one-day exploits

Το Raspberry Robin malware εξελίσσεται με one-day exploits

Οι πρόσφατες εκδόσεις του Raspberry Robin malware είναι πιο εξελιγμένες και υλοποιούν εκμεταλλεύσεις one-day exploits, που εφαρμόζονται μόνο σε συστήματα που είναι ευάλωτα σε αυτές.

Δείτε επίσης: Κακόβουλα Google ads εξαπατούν τους χρήστες Mac να εγκαταστήσουν το Atomic Stealer malware

Raspberry Robin malware

Σύμφωνα με έκθεση της Check Point, το Raspberry Robin πρόσφατα χρησιμοποίησε τουλάχιστον δύο one-day exploits, πράγμα που υποδηλώνει ότι ο φορέας malware είτε έχει την ικανότητα να αναπτύσσει τον κώδικα είτε διαθέτει πηγές που τον παρέχουν.

Το Raspberry Robin είναι ένα πρόσθετο που εντοπίστηκε για πρώτη φορά από τη Red Canary, μια εταιρεία διαχείρισης ανίχνευσης και απόκρισης, το 2021. Εξαπλώνεται κυρίως μέσω αφαιρούμενων αποθηκευτικών μέσων, όπως USB και δημιουργεί μια αρχική πρόσβαση σε μολυσμένα συστήματα για να διευκολύνει την εγκατάσταση επιπλέον φορτίων.

#secnews #microsoft
Learn the shocking truth about Microsoft and Crowdstrike in this eye-opening video. Discover how their actions impact Greece and the rest of the world.
Ποιοι λόγοι κρύβονται πίσω από τη διακοπή στις υπηρεσίες της Microsoft και πώς επηρεάζεται ο κόσμος;
Τις τελευταίες ώρες, χρήστες και επιχειρήσεις σε όλο τον κόσμο, αντιμετωπίζουν προβλήματα και διακοπές σε υπηρεσίες της Microsoft, συμπεριλαμβανομένων των Microsoft 365 και Azure. Επίσης, προβλήματα υπήρξαν και με τη λειτουργία των Windows συστημάτων.
Ποια είναι η αιτία αυτών των διακοπών και πώς επηρεάστηκε η Ελλάδα;
Μάθετε περισσότερα: https://www.secnews.gr/609071/ti-symvainei-me-thn-ellada-kai-to-blackout-ths-microsoft/
Παρακολουθήστε αυτό το βίντεο για να μάθετε τα πάντα για αυτήν την επίθεση και τι πρέπει να κάνετε για να προστατεύσετε τα δεδομένα σας. #MicrosoftΔιακοπή #ΔιακοπήΥπηρεσιών #ΠροστασίαΔεδομένων #Κυβερνοασφάλεια #ΕπιτήρησηΔικτύου #ΠροστασίαΕταιρειών #ΑσφάλειαΔεδομένων #ΔιαδικτυακήΧωροφυλακή #ΠροστασίαΥποδομών #Κυβερνοαπειλές

#secnews #microsoft

Ποιοι λόγοι κρύβονται πίσω από τη διακοπή στις υπηρεσίες της Microsoft και πώς επηρεάζεται ο κόσμος;

Τις τελευταίες ώρες, χρήστες και επιχειρήσεις σε όλο τον κόσμο, αντιμετωπίζουν προβλήματα και διακοπές σε υπηρεσίες της Microsoft, συμπεριλαμβανομένων των Microsoft 365 και Azure. Επίσης, προβλήματα υπήρξαν και με τη λειτουργία των Windows συστημάτων.

Ποια είναι η αιτία αυτών των διακοπών και πώς επηρεάστηκε η Ελλάδα;

Μάθετε περισσότερα: https://www.secnews.gr/609071/ti-symvainei-me-thn-ellada-kai-to-blackout-ths-microsoft/

Παρακολουθήστε αυτό το βίντεο για να μάθετε τα πάντα για αυτήν την επίθεση και τι πρέπει να κάνετε για να προστατεύσετε τα δεδομένα σας. #MicrosoftΔιακοπή #ΔιακοπήΥπηρεσιών #ΠροστασίαΔεδομένων #Κυβερνοασφάλεια #ΕπιτήρησηΔικτύου #ΠροστασίαΕταιρειών #ΑσφάλειαΔεδομένων #ΔιαδικτυακήΧωροφυλακή #ΠροστασίαΥποδομών #Κυβερνοαπειλές

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Llhsc0xwNDBseUtr

The Shocking Truth: Microsoft and Crowdstrike Exposed

SecNewsTV6 hours ago

Έχει συνδεθεί με κακόβουλους παράγοντες όπως οι EvilCorp, FIN11, TA505, Clop ransomware και άλλες κακόβουλες επιχειρήσεις, αλλά οι δημιουργοί και οι διατηρητές του παραμένουν άγνωστοι.

Από την ανακάλυψή του, το Raspberry Robin malware συνεχώς εξελίσσεται, προσθέτοντας νέα χαρακτηριστικά, τεχνικές αποφυγής και υιοθετώντας διάφορες μεθόδους διανομής. Ένα παράδειγμα της τεχνικής αποφυγής που υιοθέτησε ήταν να απορρίπτει πλαστές παραδόσεις για να παραπλανήσει τους ερευνητές.

Η Check Point αναφέρει ότι παρατηρεί αύξηση στις επιθέσεις του Raspberry Robin από τον Οκτώβριο του 2023, με μεγάλα κύματα επιθέσεων να στοχεύουν συστήματα σε όλο τον κόσμο. Μια αλλαγή στις πρόσφατες εκστρατείες είναι η χρήση της πλατφόρμας Discord για τον ρίψη κακόβουλων αρχείων στον στόχο, πιθανώς μετά από αποστολή των συνδέσμων μέσω ηλεκτρονικού ταχυδρομείου.

Τα αρχεία περιλαμβάνουν ένα εκτελέσιμο αρχείο με υπογραφή (OleView.exe) και ένα κακόβουλο αρχείο DLL (aclui.dll) που φορτώνεται παράλληλα όταν ο θύμα τρέχει το εκτελέσιμο, ενεργοποιώντας το Raspberry Robin malware στο σύστημα.

Όταν εκτελείται για πρώτη φορά το Raspberry Robin σε έναν υπολογιστή, θα προσπαθήσει αυτόματα να αυξήσει τα δικαιώματα στη συσκευή χρησιμοποιώντας μια ποικιλία από one-day exploits.

Η Check Point επισημαίνει ότι η νέα εκστρατεία Raspberry Robin εκμεταλλεύεται τα CVE-2023-36802 και CVE-2023-29360, δύο ευπάθειες ανόδου προνομίων στις υπηρεσίες Microsoft Streaming Proxy και τον οδηγό συσκευής TPM των Windows. Και στις δύο περιπτώσεις, σύμφωνα με τους ερευνητές, το Raspberry Robin άρχισε να εκμεταλλεύεται τα ελαττώματα χρησιμοποιώντας μία άγνωστη ως τότε εκμετάλλευση, μόλις ένα μήνα μετά τη δημοσίευση των θεμάτων ασφαλείας στις 13 Ιουνίου και 12 Σεπτεμβρίου 2023.

Το CVE-2023-36802, το οποίο επιτρέπει σε επιτιθέμενους να ενισχύσουν τα προνόμιά τους σε επίπεδο SYSTEM, η Cyfirma ανέφερε ότι ένα exploit ήταν διαθέσιμο προς αγορά στο Dark Web από τον Φεβρουάριο του 2023, επτά μήνες πριν από την αναγνώριση και αντιμετώπιση του προβλήματος από τη Microsoft.

Αυτή η χρονολογία υποδηλώνει ότι το Raspberry Robin malware αποκτά τα one-day exploits από εξωτερικές πηγές σχεδόν αμέσως μετά τη δημοσίευσή τους, καθώς το κόστος τους ως zero days είναι πιθανόν υπερβολικά υψηλό ακόμα και για μεγαλύτερες εγκληματικές επιχειρήσεις.

Δείτε ακόμα: Νέα Python παραλλαγή του Chaes Malware στοχεύει τραπεζικές και logistic βιομηχανίες

Στην έκθεσή της, η Check Point αναδεικνύει επίσης αρκετές προηγμένες εξελίξεις στις τελευταίες εκδόσεις των Raspberry Robin, που περιλαμβάνουν νέους μηχανισμούς αντι-ανάλυσης, αποφυγής και πλευρικής κίνησης.

one-day exploits

Για να αποφεύγει τα εργαλεία ασφαλείας και τις άμυνες του λειτουργικού συστήματος, το κακόβουλο λογισμικό προσπαθεί τώρα να τερματίσει συγκεκριμένες διεργασίες όπως το ‘runlegacycplelevated.exe‘, που σχετίζονται με τον Έλεγχο του Λογαριασμού Χρηστών (UAC), και παρεμβαίνει στο API NtTraceEvent για να αποφύγει την ανίχνευση από την Event Tracing for Windows (ETW).

Επιπλέον, το Raspberry Robin ελέγχει τώρα εάν συγκεκριμένα APIs, όπως το ‘GetUserDefaultLangID‘ και το ‘GetModuleHandleW‘, έχουν προσδιοριστεί από την πρώτη λέξη της συνάρτησης API για να ανιχνεύσει οποιεσδήποτε διεργασίες παρακολούθησης από προϊόντα ασφαλείας.

Μια ακόμα ενδιαφέρουσα νέα τακτική είναι η χρήση ρουτίνας που χρησιμοποιεί τα APIs “AbortSystemShutdownW” και “ShutdownBlockReasonCreate” για να αποτρέψει το κλείσιμο του συστήματος που θα μπορούσε να διακόψει τη δραστηριότητα του κακόβουλου λογισμικού.

Για να κρύψει τις διευθύνσεις διαχείρισης και ελέγχου (C2), το κακόβουλο λογισμικό πρώτα επικοινωνεί τυχαία με έναν από τους 60 προκαθορισμένους τομείς Tor που αναφέρονται σε γνωστές ιστοσελίδες, προκειμένου να φαίνεται ότι οι αρχικές επικοινωνίες είναι αθώες.

Τελικά, το Raspberry Robin malware χρησιμοποιεί πλέον το PAExec.exe αντί του PsExec.exe για να κατεβάσει το φορτίο απευθείας από την τοποθεσία φιλοξενίας. Αυτή η απόφαση πιθανώς λήφθηκε για να αυξήσει την αόρατη παρουσία του, καθώς το PsExec.exe είναι γνωστό ότι εκμεταλλεύεται από χάκερς.

Οι ερευνητές πιστεύουν ότι το Raspberry Robin θα συνεχίσει να εξελίσσεται και να προσθέτει νέες εκμεταλλεύσεις στο οπλοστάσιο του, αναζητώντας κώδικα που δεν έχει δημοσιευθεί ακόμα. Με βάση τις παρατηρήσεις κατά τη διάρκεια της ανάλυσης του κακόβουλου λογισμικού, πιθανώς οι υπεύθυνοι για το κακόβουλο λογισμικό δεν αποτελούν σύνδεση με έναν προγραμματιστή που παρέχει τον κώδικα εκμετάλλευσης.

Η έκθεση της Check Point παρέχει μια λίστα με ενδείξεις συμβιβασμού για το Raspberry Robin, η οποία περιλαμβάνει κατακερματισμούς για το κακόβουλο λογισμικό, πολλαπλούς τομείς στο δίκτυο Tor και διευθύνσεις URL του Discord για τη λήψη του κακόβουλου αρχείου.

Δείτε επίσης: Οι εφαρμογές πληρωμών κινδυνεύουν από Malware επιθέσεις!

Ποια είναι η έννοια των one-day exploits;

Τα one-day exploits αναφέρονται σε ευπάθειες που ανακαλύπτονται και εκμεταλλεύονται εντός μιας ημέρας. Αυτό σημαίνει ότι οι επιτιθέμενοι εκμεταλλεύονται αυτές τις ευπάθειες πριν οι κατασκευαστές λογισμικού έχουν την ευκαιρία να δημιουργήσουν και να διανείμουν επιδιορθώσεις.

Αυτό είναι εξαιρετικά επικίνδυνο για τις ψηφιακές περιουσίες, καθώς οι επιθέσεις αυτού του είδους μπορούν να προκαλέσουν σημαντικές ζημιές πριν υπάρξει η δυνατότητα αντίδρασης. Τα one-day exploits είναι επίσης δύσκολο να ανιχνευθούν, καθώς είναι σχεδιασμένα για να αξιοποιούν τις ευπάθειες που δεν είναι ακόμη γνωστές στο ευρύ κοινό.

Για την προστασία από τα one-day exploits, είναι σημαντικό να διατηρούνται τα συστήματα ενημερωμένα και να χρησιμοποιούνται εργαλεία ασφαλείας που μπορούν να ανιχνεύσουν και να μπλοκάρουν τις απειλές πριν προκαλέσουν ζημιά. Επίσης, η εκπαίδευση του προσωπικού σε θέματα ασφάλειας μπορεί να βοηθήσει στην πρόληψη των επιθέσεων αυτού του είδους.

Πηγή: bleepingcomputer

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS