.
Os pesquisadores suspeitam que os criminosos por trás do malware Raspberry Robin estão agora comprando exploits para ataques cibernéticos mais rápidos.
Os profissionais da infosec consideram que um desenvolvedor de exploit está na folha de pagamento do Raspberry Robin ou é um contato próximo que o vende ao grupo – provavelmente o último. Isso está de acordo com a Check Point Research (CPR), que rastreou quanto tempo leva para que explorações de vulnerabilidade sejam adicionadas como recursos ao malware.
Em 2022, o Raspberry Robin adicionou explorações para vulnerabilidades com até 12 meses, como CVE-2021-1732, mas mudou rapidamente para aquelas com menos de um mês, como CVE-2023-36802.
Isso significa que os criminosos por trás disso estão priorizando a velocidade do desenvolvimento para maximizar suas chances de ataques bem-sucedidos.
“O Raspberry Robin continua a usar diferentes explorações para vulnerabilidades antes ou pouco tempo depois de serem divulgadas publicamente”, disse CPR. “Essas explorações de um dia não foram divulgadas publicamente no momento de seu uso. Uma exploração para uma das vulnerabilidades, CVE-2023-36802, também foi usada como dia zero e foi vendida na dark web. “
Muito poucos sabiam sobre o CVE-2023-36802 até que a Microsoft o abordou como parte das atualizações do Patch Tuesday de setembro de 2023. No entanto, a Cyfirma detectou uma exploração vendida na dark web já em fevereiro daquele ano, sete meses antes de os avisos de segurança começarem a aparecer.
Os primeiros sinais de Raspberry Robin abusando do CVE-2023-36802 surgiram em outubro, poucas semanas após o Patch Tuesday e no mesmo mês em que o código de exploração público foi disponibilizado.
Os pesquisadores acreditam que isso aponta para o acesso da equipe a um desenvolvedor, dado o tempo que levou para começar a usar a vulnerabilidade, especialmente em comparação com o ano anterior, quando usava vulnerabilidades de um ano atrás.
É possível que a equipe do Raspberry Robin tenha descoberto o exploit de fevereiro e o tenha comprado, ou alguém interno tenha desenvolvido o seu próprio rapidamente depois de identificá-lo na lista de atualizações da Microsoft, mas esta é vista como a opção menos provável.
Outro caso ocorrido no início de 2023 também apontou para a possibilidade de vínculos do Raspberry Robin com desenvolvedores sofisticados.
“Depois de analisar amostras do Raspberry Robin antes de outubro, descobrimos que ele também usava um exploit para CVE-2023-29360”, disse CPR. “Essa vulnerabilidade foi divulgada publicamente em junho e usada pelo Raspberry Robin em agosto. Embora seja uma vulnerabilidade bastante fácil de explorar, o fato de o autor da exploração ter uma amostra funcional antes de haver uma exploração conhecida no GitHub é impressionante. a rapidez com que Raspberry Robin o usou.
“Esta exploração também tem o mesmo carregador e o mesmo esquema de ofuscação para as strings que a exploração CVE-2023-36802 e o fluxo é semelhante. Curiosamente, esta vulnerabilidade também está no mskssrv.sys, o que significa que o escritor da exploração está trabalhando nisso driver, podemos ver outras vulnerabilidades no driver sendo exploradas.”
A análise do malware mostrou que essas explorações estavam sendo usadas como executáveis externos de 64 bits, o que para os pesquisadores do CPR indica que foram comprados em vez de desenvolvidos internamente.
“Se os autores do Raspberry Robin fossem os desenvolvedores das explorações, provavelmente teriam usado as explorações no próprio componente principal”, disse CPR. “Além disso, os exploits seriam empacotados da mesma forma e teriam o mesmo formato que os diferentes estágios do componente principal.”
O fato de esses executáveis serem de 64 bits apenas indica um desenvolvimento externo, já que o Raspberry Robin foi desenvolvido para arquiteturas de 32 e 64 bits.
Os abusos também não usaram o mesmo alto grau de técnicas de ofuscação que o componente principal do Raspberry Robin, como nivelamento de fluxo de controle e mascaramento variável.
Raspberry Robin desempenha um papel importante no mundo do crime cibernético e conta com a confiança de muitos dos principais grupos criminosos rastreados por pesquisadores de segurança, como EvilCorp, TA505, IcedID e vários afiliados de ransomware.
No ano passado, foi apontado como um dos três carregadores de malware que foram conjuntamente responsáveis por 80% dos ataques cibernéticos entre janeiro e agosto de 2023, ao lado do QBot e do SocGholish.
Ao publicar suas suspeitas sobre a mudança do Raspberry Robin em direção à compra de exploits, o CPR também descobriu que uma série de novos recursos foram adicionados. O malware é bastante conhecido por suas atualizações regulares, especialmente focadas em técnicas antievasão, e a versão mais recente não é diferente.
Ele vem carregado com novos métodos para evitar que os pesquisadores analisem seu funcionamento interno, bem como novas rotinas para sobreviver aos desligamentos do sistema. Pequenas atualizações em sua lógica de comunicação e movimento lateral também passaram pelo pipeline. ®
.
