Les versions récentes du malware Raspberry Robin sont plus furtives et implémentent des exploits d’un jour qui ne sont déployés que sur des systèmes qui y sont sensibles.

Les exploits d’un jour font référence au code qui exploite une vulnérabilité que le développeur du logiciel affecté a corrigée récemment, mais le correctif n’a pas été déployé sur tous les clients ou il n’a pas été appliqué sur tous les systèmes vulnérables.

À partir du moment où le fournisseur divulgue la vulnérabilité, qui accompagne généralement la publication d’un correctif, les auteurs de menaces se précipitent pour créer un exploit et l’utiliser avant que le correctif ne se propage à un grand nombre de systèmes.

Selon un rapport de Check Point, Raspberry Robin a récemment utilisé au moins deux exploits pour des failles d’un jour, ce qui indique que l’opérateur du logiciel malveillant a la capacité de développer le code ou a des sources qui le fournissent.

Fond de framboise Robin
Raspberry Robin est un ver que Red Canary, une société de détection et d’intervention gérée, a identifié pour la première fois en 2021. Il se propage principalement via des périphériques de stockage amovibles tels que des clés USB pour s’implanter sur les systèmes infectés et faciliter le déploiement de charges utiles supplémentaires.

Il a été associé à des acteurs de la menace comme EvilCorp, FIN11, TA505, le gang de ransomwares Clop et d’autres opérations malveillantes, mais ses créateurs et ses responsables sont inconnus.

Depuis sa découverte, Raspberry Robin n’a cessé d’évoluer, ajoutant de nouvelles fonctionnalités, des techniques d’évasion et adoptant plusieurs méthodes de distribution. Un exemple d’astuce d’évasion mise en œuvre consistait à déposer de fausses charges utiles pour induire les chercheurs en erreur.

Check Point rapporte qu’il a observé une légère augmentation des opérations de Raspberry Robin à partir d’octobre 2023, avec de grandes vagues d’attaques ciblant des systèmes dans le monde entier.

Un changement notable dans les campagnes récentes est l’utilisation de la plate-forme Discord pour déposer des fichiers d’archive malveillants sur la cible, probablement après l’envoi par e-mail des liens vers la cible.

Les archives contiennent un exécutable signé numériquement (OleView.exe) et un fichier DLL malveillant (aclui.dll) qui est chargé latéralement lorsque la victime exécute l’exécutable, activant ainsi Raspberry Robin dans le système.

Cibler les défauts du jour n
Lorsque Raspberry Robin est exécuté pour la première fois sur un ordinateur, il tentera automatiquement d’élever les privilèges sur l’appareil à l’aide d’une variété d’exploits d’un jour.

Check Point souligne que la nouvelle campagne Raspberry Robin exploite des exploits pour CVE-2023-36802 et CVE-2023-29360, deux vulnérabilités d’escalade de privilèges locaux dans le Proxy du service de streaming Microsoft et le pilote de périphérique TPM Windows.

Dans les deux cas, selon les chercheurs, Raspberry Robin a commencé à exploiter les failles en utilisant un exploit alors inconnu moins d’un mois après la divulgation publique des problèmes de sécurité, les 13 juin et 12 septembre 2023.

Comme illustré dans le diagramme chronologique ci-dessous, Raspberry Robin a exploité les deux failles avant que les chercheurs en sécurité ne publient pour la première fois le code d’exploitation de preuve de concept pour les deux failles.

Délais de divulgation et d’exploitation

Plus précisément, en ce qui concerne CVE-2023-36802, qui permet aux attaquants d’augmenter leurs privilèges au niveau du SYSTÈME, Cyfirma a signalé qu’un exploit était disponible à l’achat sur le Dark Web depuis février 2023, sept mois complets avant que Microsoft reconnaisse et résolve le problème.

Cette chronologie suggère que Raspberry Robin acquiert des exploits d’un jour auprès de sources externes presque immédiatement après leur divulgation, car leur coût en zéro jour est probablement trop élevé, même pour des opérations de cybercriminalité plus importantes.

Check Point a également trouvé des preuves qui corroborent cette théorie, car les exploits utilisés par Raspberry Robin n’étaient pas intégrés au composant principal 32 bits, mais déployés en tant qu’exécutables externes 64 bits, et n’ont pas non plus l’obscurcissement lourd généralement observé avec ce malware.

Nouveaux mécanismes d’évasion
Le rapport de Check Point met également en évidence plusieurs avancées dans les dernières variantes de Raspberry Robin, qui incluent de nouveaux mécanismes d’anti-analyse, d’évasion et de mouvement latéral.

Nouveaux systèmes vus dans les variantes récentes

Pour échapper aux outils de sécurité et aux défenses du système d’exploitation, le logiciel malveillant tente désormais de mettre fin à des processus spécifiques tels que « runlegacycplelevated ».exe est lié à l’utilisation du contrôle de compte (UAC) et corrige l’API NtTraceEvent pour échapper à la détection par le suivi des événements pour Windows (ETW).

De plus, Raspberry Robin vérifie maintenant si certaines API, comme ‘GetUserDefaultLangID’ et ‘GetModuleHandleW’, sont accrochées en comparant le premier octet de la fonction API pour détecter tout processus de surveillance par les produits de sécurité.

Une autre nouvelle tactique intéressante est la mise en œuvre de routines qui utilisent des API telles que « AbortSystemShutdownW » et « ShutdownBlockReasonCreate » pour empêcher les arrêts du système qui pourraient interrompre l’activité du malware.

Pour dissimuler les adresses de commande et de contrôle (C2), le logiciel malveillant interagit d’abord de manière aléatoire avec l’un des 60 domaines Tor codés en dur pointant vers des sites bien connus pour donner l’impression que les communications initiales sont bénignes.

Domaines Tor utilisés pour créer un faux trafic

Enfin, Raspberry Robin utilise désormais PAExec.exe au lieu de PsExec.exe pour télécharger la charge utile directement à partir de l’emplacement d’hébergement. Cette décision a probablement été prise pour augmenter sa furtivité, comme PsExec.exe est connu pour être mal utilisé par les pirates.

Les chercheurs pensent que Raspberry Robin continuera d’évoluer et d’ajouter de nouveaux exploits à son arsenal, à la recherche de code qui n’a pas été rendu public. Sur la base des observations lors de l’analyse des logiciels malveillants, il est probable que les opérateurs du logiciel malveillant ne créent pas est connecté à un développeur qui fournit le code d’exploitation.

Le rapport de Check Point fournit une liste d’indicateurs de compromission pour Raspberry Robin, qui consiste en des hachages pour le logiciel malveillant, plusieurs domaines dans le réseau Tor et des URL Discord pour télécharger l’archive malveillante.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *