Raspberry Robin kampány
A CheckPoint friss jelentése szerint a Raspberry Robin egy széles körben elterjedt féreg, amelyet először a Red Canary jelentett 2021-ben. Képességei és kitérései a nagyon aktív terjesztése mellett az egyik legérdekesebb kártevővé tették. A Check Point Research néhány hónapja közzétett egy cikket, amelyben a Raspberry Robint példaként jelölték a különböző kitérési viselkedések azonosítására és mérséklésére.
A Raspberry Robin egy sokkal nagyobb malware ökoszisztéma része, és kezdeti hozzáférési közvetítőként működik más bűnözői csoportok által telepített további malware-ek számára. A Raspberry Robinnal kapcsolatban álló különböző bűnszervezetek közé tartozik az EvilCorp, a TA505 és egyéb kártékony szereplők.
A Raspberry Robin azon kártevők gyorsan növekvő klubjába tartozik, amelyek igyekeznek elkerülni, hogy bármilyen VM-en fussanak. Ennek elérése érdekében számos lépésben különböző kitérőket tett hozzá, és folyamatosan módosította. Feltételezzük, hogy a Raspberry Robin folytatja ezt az utat, és sok más trükköt is bevet majd, amit útközben megtanul.
A Raspberry Robin jelenlegi verziója nem csak új egyedi funkciókat alkalmaz, hanem új kihasználásokat is használt a jogosultságok kiterjesztésére. Az egyik ilyen exploitot fél évvel a nyilvánosságra hozatala előtt 0 napos exploitként a Dark Web-en is értékesítették. A második exploitot nem sokkal a nyilvánosságra hozatala után szintén felhasználták. Feltételezzük, hogy a Raspberry Robin az 1 napos exploitokat egy exploit-fejlesztőtől vásárolja, és több okból sem készít saját exploitokat.
Az exploitokat külső 64 bites futtatható fájlként használják. Ha a Raspberry Robin szerzői lennének az exploitok fejlesztői, akkor valószínűleg magában a fő komponensben használták volna az exploitokat. Ráadásul az exploitok ugyanúgy lennének becsomagolva, és ugyanolyan formátumúak lennének, mint a fő komponens különböző szakaszai.
Az exploitok csak 64 bites, 32 bites változatra nem alkalmasak, annak ellenére, hogy a fő komponens 32 bites változatra is alkalmas.
Az exploitok nincsenek erősen elhomályosítva, és nem rendelkeznek Control flow flatteninggel és változó maszkolással, mint a Raspberry Robin fő komponensében.
A felhasznált exploitok gyors változása miatt azt is feltételezzük, hogy a Raspberry Robin folyamatosan új exploitokat fog használni olyan sebezhetőségekre, amelyeknek az első alkalommal történő felhasználásukkor még nincs nyilvános POC-juk.