Il malware Raspberry Robin ha introdotto importanti aggiornamenti nelle sue tecniche di diffusione e nell’uso di exploit ed ora, oltre a propagarsi tramite unità USB infette, il malware sfrutta Discord per distribuire varianti contenenti campioni di Raspberry Robin in file archivio RAR contraffatti. Questo approccio allarga notevolmente il campo d’azione del malware, consentendogli di raggiungere un numero maggiore di potenziali vittime attraverso i canali di comunicazione online.
Innovazioni Tecniche
Gli operatori di Raspberry Robin hanno migliorato la logica di movimento laterale del malware, sostituendo PsExec.exe con PAExec.exe, e hanno variato il metodo di comunicazione con i server di comando e controllo (C2), scegliendo casualmente un indirizzo onion V3 da una lista di 60 indirizzi onion predefiniti. Questa modifica rende più complessa l’analisi del malware e la tracciabilità della sua rete di comando.
L’Uso di Exploit Avanzati
Raspberry Robin è noto per l’utilizzo di exploit di un giorno, come CVE-2020-1054 e CVE-2021-1732, per ottenere l’escalation dei privilegi locali. Recentemente, è emerso che il malware ha iniziato a utilizzare un exploit per la vulnerabilità CVE-2023-36802, che era stato venduto sui forum del dark web come zero-day prima che Microsoft rilasciasse una patch a settembre 2023. Questo dimostra la capacità di Raspberry Robin di incorporare rapidamente nuovi exploit nel suo arsenale, sfruttando le vulnerabilità prima che molte organizzazioni abbiano applicato le patch necessarie.
Il Contesto più Ampio
Attribuito all’attore di minaccia Storm-0856 (precedentemente DEV-0856), Raspberry Robin è parte di un ecosistema malware complesso e interconnesso con legami con altri gruppi di e-criminalità come Evil Corp, Silence e TA505. L’efficacia di Raspberry Robin nel facilitare l’accesso iniziale per altri payload dannosi, inclusi i ransomware, lo rende uno degli strumenti più pericolosi nell’arsenale degli attori di minaccia.
La continua evoluzione di Raspberry Robin evidenzia l’importanza per le organizzazioni di mantenere solide pratiche di sicurezza informatica, inclusi l’aggiornamento tempestivo dei sistemi e l’educazione degli utenti sui rischi associati all’apertura di allegati sospetti e all’utilizzo di dispositivi USB non sicuri.