Die Betreiber von Raspberry Robin haben zwei neue eintägige Exploits entwickelt, um eine lokale Privilegien-Eskalation zu erreichen, während der Schadcode weiter verfeinert und verbessert wird, um noch unauffälliger zu sein als zuvor. Dies bedeutet, dass Raspberry Robin entweder Zugriff auf einen Exploit-Verkäufer hat oder dass die Autoren selbst in kurzer Zeit Exploits entwickeln, so Check Point in einem Bericht dieser Woche. Raspberry Robin (auch als QNAP-Wurm bekannt) ist eine schädliche Malware-Familie, die bekannt dafür ist, einer der führenden Zugangsförderer für andere schädliche Nutzlasten zu sein, einschließlich Ransomware. Der Schadcode wird über verschiedene Eintrittsvektoren ausgebreitet, darunter infizierte USB-Laufwerke. Laut Microsoft handelt es sich um ein „komplexes und verbundenes Malware-Ökosystem“ mit Verbindungen zu anderen e-Kriminalitätsgruppen wie Evil Corp, Silence und TA505. Die Verwendung von eintägigen Exploits wie CVE-2020-1054 und CVE-2021-1732 für Privilegien-Eskalation wurde bereits im April 2023 von Check Point hervorgehoben. Seit Oktober 2023 hat das Unternehmen „große Angriffswellen“ festgestellt und berichtet, dass die Angreifer zusätzliche Anti-Analyse- und Verschleierungstechniken implementiert haben, um es schwerer zu erkennen und zu analysieren. Raspberry Robin verwendet weiterhin verschiedene Exploits für Schwachstellen entweder vor oder nur kurze Zeit nach der Veröffentlichung dieser Schwachstellen. Ein Exploit für eine der Schwachstellen, CVE-2023-36802, wurde auch als Zero-Day im Internet verkauft. Es wird vermutet, dass die Bedrohungsakteure diese Exploits kaufen, anstatt sie intern zu entwickeln, da sie als externe 64-Bit-Ausführbare verwendet werden und nicht so stark verschleiert sind wie das Kernmodul der Malware. Die Fähigkeit von Raspberry Robin, neu veröffentlichte Exploits schnell in sein Arsenal aufzunehmen, zeigt das hohe Bedrohungsniveau und die Ausnutzung von Schwachstellen, bevor viele Organisationen Patches anwenden können. Eine signifikante Änderung betrifft den Zugangsweg selbst, der nun Rogue RAR-Archivdateien verwendet, die auf Discord gehostet werden. In den neueren Varianten wurde auch die logic für laterale Bewegungen geändert, die nun PAExec.exe anstelle von PsExec.exe verwendet, sowie die Methode der Befehl- und Kontrollkommunikation, indem willkürlich eine V3 Onion-Adresse aus einer Liste von 60 hardcoded Onion-Adressen ausgewählt wird.