IND | ENG
Peningkatan Malware Raspberry Robin dengan Penyebaran Discord dan Eksploitasi Baru

The Hacker News

Peningkatan Malware Raspberry Robin dengan Penyebaran Discord dan Eksploitasi Baru
Nemo Ikram Diposting : Sabtu, 10 Februari 2024 - 20:00 WIB

Cyberthreat.id - Operator Raspberry Robin kini menggunakan dua eksploitasi one-day baru untuk mencapai peningkatan hak istimewa lokal, meskipun malware tersebut terus disempurnakan dan ditingkatkan agar lebih tersembunyi dari sebelumnya.

Artinya, “Raspberry Robin memiliki akses ke penjual eksploitasi atau pembuatnya mengembangkan sendiri eksploitasi tersebut dalam waktu singkat,” kata Check Point dalam laporannya minggu ini sebagaimana dikutip The Hacker News.

Raspberry Robin (alias worm QNAP), yang pertama kali didokumentasikan pada 2021, adalah keluarga malware penghindar yang dikenal bertindak sebagai salah satu fasilitator akses awal teratas untuk muatan berbahaya lainnya, termasuk ransomware.

Dikaitkan dengan pelaku ancaman bernama Storm-0856 (sebelumnya DEV-0856), virus ini menyebar melalui beberapa vektor entri, termasuk drive USB yang terinfeksi, dan Microsoft menggambarkannya sebagai bagian dari "ekosistem malware yang kompleks dan saling berhubungan" yang terkait dengan kejahatan elektronik lainnya, seperti Evil Corp, Silence, dan TA505.

Penggunaan eksploitasi one-day oleh Raspberry Robin seperti CVE-2020-1054 dan CVE-2021-1732 untuk peningkatan hak istimewa sebelumnya disorot oleh Check Point pada April 2023.

Perusahaan keamanan siber, yang mendeteksi “gelombang besar serangan” sejak Oktober 2023, mengatakan para pelaku ancaman telah menerapkan teknik anti-analisis dan kebingungan tambahan untuk mempersulit deteksi dan analisis.

“Yang paling penting, Raspberry Robin terus menggunakan eksploitasi yang berbeda untuk kerentanan baik sebelum atau hanya dalam waktu singkat setelah diungkapkan kepada publik,” katanya.

“Eksploitasi one-day tersebut tidak diungkapkan kepada publik pada saat digunakan. Eksploitasi untuk salah satu kerentanan, CVE-2023-36802, juga digunakan secara liar sebagai zero-day dan dijual di web gelap. "

Laporan dari Cyfirma akhir tahun lalu mengungkapkan bahwa eksploitasi untuk CVE-2023-36802 diiklankan di forum web gelap pada Februari 2023. Ini terjadi tujuh bulan sebelum Microsoft dan CISA merilis nasihat tentang eksploitasi aktif. Itu telah ditambal oleh pembuat Windows pada September 2023.

Raspberry Robin dikatakan telah mulai memanfaatkan eksploitasi untuk kelemahan tersebut sekitar bulan Oktober 2023, bulan yang sama ketika kode eksploitasi publik tersedia, serta untuk CVE-2023-29360 pada bulan Agustus. Yang terakhir ini diungkapkan secara publik pada Juni 2023, tetapi eksploitasi untuk bug tersebut baru muncul pada September 2023.

Diperkirakan bahwa pelaku ancaman membeli eksploitasi ini daripada mengembangkannya sendiri karena fakta bahwa eksploitasi tersebut digunakan sebagai executable 64-bit eksternal dan tidak terlalu dikaburkan seperti modul inti malware.

“Kemampuan Raspberry Robin untuk dengan cepat memasukkan eksploitasi yang baru terungkap ke dalam persenjataannya semakin menunjukkan tingkat ancaman yang signifikan, mengeksploitasi kerentanan sebelum banyak organisasi menerapkan perbaikan,” kata perusahaan itu.

Salah satu perubahan signifikan lainnya berkaitan dengan jalur akses awal itu sendiri, memanfaatkan file arsip RAR jahat yang berisi sampel Raspberry Robin yang dihosting di Discord.

Yang juga dimodifikasi dalam varian baru adalah logika gerakan lateral, yang sekarang menggunakan PAExec.exe, bukan PsExec.exe, dan metode komunikasi perintah-dan-kontrol (C2) dengan memilih alamat bawang V3 secara acak dari daftar 60 bawang yang dikodekan keras alamat.

“Ini dimulai dengan mencoba menghubungi domain Tor yang sah dan terkenal dan memeriksa apakah mendapat tanggapan,” jelas Check Point. "Jika tidak ada respons, Raspberry Robin tidak mencoba berkomunikasi dengan server C2 yang sebenarnya."[]

#one-day   #malware   #RaspberryRobin   #

Share:




BACA JUGA
Paket PyPI Tidak Aktif Disusupi untuk Menyebarkan Malware Nova Sentinel
Penjahat Siber Persenjatai Alat SSH-Snake Sumber Terbuka untuk Serangan Jaringan
Awas Bahaya Backdoor MacOS Tersembunyi dalam Versi Bajakan Perangkat Lunak Populer
Malware Docker Terbaru, Mencuri CPU untuk Crypto & Mendorong Lalu Lintas Situs Web Palsu