Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
Feb 14, 2024 Marina Londei In evidenza, Malware, News, RSS, Vulnerabilità 0
Raspberry Robin continua a evolvere: di recente il malware ha integrato nuovi exploit 1-day LPE (Local Privilege Escalation) per estendere il suo raggio d’azione.
Al contrario degli 0-day, gli 1-day exploit sono programmi che sfruttano una vulnerabilità software patchata di recente, ma per la quale il fix non è stato fornito a tutti i clienti o non è stato applicato a tutti i sistemi.
Raspberry Robin, un worm apparso per la prima volta nel 2021, ha aumentato notevolmente le sue capacità dallo scorso ottobre, quando il team di Check Point ha registrato numerosi attacchi contro i propri clienti. “Dal nostro ultimo report, è chiaro che Raspberry Robin non ha smesso di implementare nuove feature e tecniche che lo rendono ancora più difficile da analizzare” spiegano i ricercatori.
Il worm usa diversi metodi per effettuare l’escalation dei privilegi; uno di questi consiste nello sfruttare gli exploit per le vulnerabilità LPE del kernel. Gli exploit sono cifrati utilizzando una chiave di crittografia RC4 e vengono utilizzati solo se il computer della vittima è vulnerabile a essi: Rasbperry Robin utilizza gli exploit solo per specifiche versioni e numeri di build di Windows.
Uno degli exploit principali individuato dagli attaccanti è quello che prende di mira la CVE-2023-36802, una vulnerabilità di Type Confusion presente nello Streaming Service Proxy di Microsoft che consente a un attaccante di ottenere i privilegi SYSTEM. Il bug è stato reso noto lo scorso settembre, ma gli exploit erano stati già venduti sui forum del dark web a partire da febbraio 2023, sette mesi prima che venisse pubblicato l’avviso di sicurezza.
Un altro exploit significativo colpisce la vulnerabilità CVE-2023-29360, un bug di elevation of privilege presente nel driver TPM Device di Windows. Il gruppo dietro Raspberry Robin è riuscito a sfruttare l’exploit poco più di un mese dopo la divulgazione della vulnerabilità.
Il team di Check Point ha inoltre rilevato nuovi metodi per eludere l’analisi di sicurezza e nuove tattiche di evasione che gli consentono di sopravvivere allo shutdown di sistema e di superare il filtro UWF (Unified Write Filter), pensato per proteggere l’integrità delle directory di sistema.
Secondo i ricercatori di Check Point è probabile che il gruppo dietro il malware sia in contatto con un rivenditore di exploit e non sviluppi “in casa” il software. Il team prevede che il worm continuerà a evolvere e integrare nuove funzionalità ed exploit per effettuare l’escalation dei privilegi ed eludere i controlli di sicurezza, rendendo più complesso il lavoro dei team di sicurezza.
Nov 21, 2024 0
Nov 18, 2024 0
Nov 11, 2024 0
Nov 11, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 19, 2024 0
Nov 15, 2024 0
Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...Nov 18, 2024 0
István Márton, ricercatore di Wordfence, ha individuato...