Aggiornamenti recenti Dicembre 23rd, 2025 10:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Kaspersky: così funziona il mercato del lavoro nel dark web
- Kaspersky: il cybercrime finanziario ha alzato il livello nel 2025
- CERT-AGID 13-19 dicembre: phishing PagoPA e smishing INPS
- Una vulnerabilità di ASUS Live Update di sette anni fa viene ancora sfruttata
- Il cybercrime si evolve velocemente e l’IA diventa protagonista: le previsioni di Group-IB per il 2026
Raspberry Robin si evolve e sfrutta nuovi exploit 1-day
Raspberry Robin continua a evolvere: di recente il malware ha integrato nuovi exploit 1-day LPE (Local Privilege Escalation) per estendere il suo raggio d’azione.
Al contrario degli 0-day, gli 1-day exploit sono programmi che sfruttano una vulnerabilità software patchata di recente, ma per la quale il fix non è stato fornito a tutti i clienti o non è stato applicato a tutti i sistemi.
Raspberry Robin, un worm apparso per la prima volta nel 2021, ha aumentato notevolmente le sue capacità dallo scorso ottobre, quando il team di Check Point ha registrato numerosi attacchi contro i propri clienti. “Dal nostro ultimo report, è chiaro che Raspberry Robin non ha smesso di implementare nuove feature e tecniche che lo rendono ancora più difficile da analizzare” spiegano i ricercatori.
Il worm usa diversi metodi per effettuare l’escalation dei privilegi; uno di questi consiste nello sfruttare gli exploit per le vulnerabilità LPE del kernel. Gli exploit sono cifrati utilizzando una chiave di crittografia RC4 e vengono utilizzati solo se il computer della vittima è vulnerabile a essi: Rasbperry Robin utilizza gli exploit solo per specifiche versioni e numeri di build di Windows.
Pixabay
Uno degli exploit principali individuato dagli attaccanti è quello che prende di mira la CVE-2023-36802, una vulnerabilità di Type Confusion presente nello Streaming Service Proxy di Microsoft che consente a un attaccante di ottenere i privilegi SYSTEM. Il bug è stato reso noto lo scorso settembre, ma gli exploit erano stati già venduti sui forum del dark web a partire da febbraio 2023, sette mesi prima che venisse pubblicato l’avviso di sicurezza.
Un altro exploit significativo colpisce la vulnerabilità CVE-2023-29360, un bug di elevation of privilege presente nel driver TPM Device di Windows. Il gruppo dietro Raspberry Robin è riuscito a sfruttare l’exploit poco più di un mese dopo la divulgazione della vulnerabilità.
Il team di Check Point ha inoltre rilevato nuovi metodi per eludere l’analisi di sicurezza e nuove tattiche di evasione che gli consentono di sopravvivere allo shutdown di sistema e di superare il filtro UWF (Unified Write Filter), pensato per proteggere l’integrità delle directory di sistema.
Secondo i ricercatori di Check Point è probabile che il gruppo dietro il malware sia in contatto con un rivenditore di exploit e non sviluppi “in casa” il software. Il team prevede che il worm continuerà a evolvere e integrare nuove funzionalità ed exploit per effettuare l’escalation dei privilegi ed eludere i controlli di sicurezza, rendendo più complesso il lavoro dei team di sicurezza.
Condividi l'articolo
Scoperta una nuova backdoor per macOS
Rhysida è stato crackato: disponibile un decryptor per il ransomware
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Kaspersky: così funziona il mercato del lavoro nel dark Il dark web non è più soltanto un luogo di scambio di... -
Kaspersky: il cybercrime finanziario ha alzato il livello... Nel 2025 la pressione cyber sul settore finanziario è... -
Il cybercrime si evolve velocemente e l’IA diventa... Se c’è una cosa su cui tutti concordano è che... -
Il cybercrime si evolve e si adatta, integrando l’IA... Il secondo semestre del 2025 ha segnato un punto di svolta... -
L’IA al centro delle strategie di cybersecurity... Il 2025 sta giungendo al termine e nel mondo della...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Kaspersky: il cybercrime finanziario ha alzato il livello... Nel 2025 la pressione cyber sul settore finanziario è...
-
CERT-AGID 13-19 dicembre: phishing PagoPA e smishing INPS Nel corso della settimana appena analizzata, il CERT-AGID... -
Una vulnerabilità di ASUS Live Update di sette anni fa... Una vecchia vulnerabilità di ASUS Live Update è ancora... -
Il cybercrime si evolve velocemente e l’IA diventa... Se c’è una cosa su cui tutti concordano è che...
-
Kaspersky, le PMI italiane sono un bersaglio strutturale... Mezzo milione di nuovi file malevoli al giorno. È
Ransomware: la serie
No posts found.