Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Feb 14, 2024 Marina Londei In evidenza, Malware, News, RSS, Vulnerabilità 0
Raspberry Robin continua a evolvere: di recente il malware ha integrato nuovi exploit 1-day LPE (Local Privilege Escalation) per estendere il suo raggio d’azione.
Al contrario degli 0-day, gli 1-day exploit sono programmi che sfruttano una vulnerabilità software patchata di recente, ma per la quale il fix non è stato fornito a tutti i clienti o non è stato applicato a tutti i sistemi.
Raspberry Robin, un worm apparso per la prima volta nel 2021, ha aumentato notevolmente le sue capacità dallo scorso ottobre, quando il team di Check Point ha registrato numerosi attacchi contro i propri clienti. “Dal nostro ultimo report, è chiaro che Raspberry Robin non ha smesso di implementare nuove feature e tecniche che lo rendono ancora più difficile da analizzare” spiegano i ricercatori.
Il worm usa diversi metodi per effettuare l’escalation dei privilegi; uno di questi consiste nello sfruttare gli exploit per le vulnerabilità LPE del kernel. Gli exploit sono cifrati utilizzando una chiave di crittografia RC4 e vengono utilizzati solo se il computer della vittima è vulnerabile a essi: Rasbperry Robin utilizza gli exploit solo per specifiche versioni e numeri di build di Windows.
Uno degli exploit principali individuato dagli attaccanti è quello che prende di mira la CVE-2023-36802, una vulnerabilità di Type Confusion presente nello Streaming Service Proxy di Microsoft che consente a un attaccante di ottenere i privilegi SYSTEM. Il bug è stato reso noto lo scorso settembre, ma gli exploit erano stati già venduti sui forum del dark web a partire da febbraio 2023, sette mesi prima che venisse pubblicato l’avviso di sicurezza.
Un altro exploit significativo colpisce la vulnerabilità CVE-2023-29360, un bug di elevation of privilege presente nel driver TPM Device di Windows. Il gruppo dietro Raspberry Robin è riuscito a sfruttare l’exploit poco più di un mese dopo la divulgazione della vulnerabilità.
Il team di Check Point ha inoltre rilevato nuovi metodi per eludere l’analisi di sicurezza e nuove tattiche di evasione che gli consentono di sopravvivere allo shutdown di sistema e di superare il filtro UWF (Unified Write Filter), pensato per proteggere l’integrità delle directory di sistema.
Secondo i ricercatori di Check Point è probabile che il gruppo dietro il malware sia in contatto con un rivenditore di exploit e non sviluppi “in casa” il software. Il team prevede che il worm continuerà a evolvere e integrare nuove funzionalità ed exploit per effettuare l’escalation dei privilegi ed eludere i controlli di sicurezza, rendendo più complesso il lavoro dei team di sicurezza.
Apr 23, 2024 0
Apr 22, 2024 0
Apr 22, 2024 0
Apr 22, 2024 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...