تقوم دودة Raspberry Robin بدمج عمليات استغلال اليوم الواحد تقريبًا بمجرد تطويرها، من أجل تحسين قدراتها على تصعيد الامتيازات.
يشتبه الباحثون من Check Point أن المطورين الذين يقفون وراء أداة الوصول الأولية يتعاقدون مع تجار استغلال الويب المظلم، مما يسمح لهم بدمج برمجيات استغلال جديدة بسرعة للحصول على امتيازات على مستوى النظام قبل الكشف عن هذه الثغرات للعامة، وقبل أن تتمكن العديد من المؤسسات المتأثرة من تصحيح برمجيات استغلال الثغرات المرتبطة بها نقاط الضعف.
"إنه جزء قوي جدًا من البرنامج يمنح المهاجم قدرة أكبر بكثير من حيث المراوغة، وتنفيذ إجراءات ذات امتيازات أعلى مما يمكنه فعله في أي سيناريو آخر"، يوضح إيلي سمادجا، مدير المجموعة في Check Point.
Raspberry Robin: دمج برمجيات إكسبلويت بشكل أسرع الآن
تم اكتشاف Raspberry Robin لأول مرة في عام 2021، وتم إطلاقه في عام XNUMX منشور مدونة Red Canary في العام التالي. ومنذ ذلك الحين، أصبح مطوروها أكثر استباقية، حيث قاموا بترقية أدواتهم في جزء صغير من الوقت الذي كانوا يستغرقونه في السابق.
خذ بعين الاعتبار، على سبيل المثال، ترقية مبكرة: عندما تم دمج برمجية استغلال لـ CVE-2021-1732، وهي ثغرة أمنية لتصعيد الامتيازات بدرجة "عالية" تبلغ 7.8 من 10 على مقياس CVSS. تم الكشف عن خطأ برنامج تشغيل Win32k Windows لأول مرة في فبراير 2021، ولكن تم دمجه في Raspberry Robin فقط في العام التالي.
قارن ذلك مع ثغرة أمنية أخرى لتصعيد الامتيازات من شهر يونيو الماضي: CVE-2023-29360، وهو خطأ "مرتفع" بنسبة 8.4 من أصل 10 في وكيل خدمة البث لـ Microsoft Stream. كان Raspberry Robin يستغلها بالفعل بحلول شهر أغسطس، في حين أن الاستغلال العام لن يتم الكشف عنه إلا في الشهر التالي.
ثم كان هناك CVE-2023-36802، خطأ مماثل في Microsoft Stream مع تصنيف 7.8 CVSS. تم الكشف عنها لأول مرة في 12 سبتمبر، وتم استغلالها من قبل Raspberry Robin بحلول أوائل أكتوبر، ومرة أخرى قبل إصدار أي استغلال عام (لا يستحق المطورون الكثير من الفضل في هذه الحالة، حيث أن الاستغلال كان متاحًا على الويب المظلم منذ فبراير .)
بمعنى آخر، تطور الوقت الذي تستغرقه المجموعة لاستخدام نقاط الضعف كسلاح بعد الكشف عنها قد انتقل من سنة واحدة إلى شهرين إلى أسبوعين.
لشرح عملهم السريع، تشير Check Point إلى أن مطوري الدودة إما يشترون برمجيات إكسبلويت الخاصة بهم من مطوري اليوم الواحد على الويب المظلم، أو يطورونها بأنفسهم. تشير بعض الاختلالات بين الدودة وأكواد الاستغلال إلى أن السيناريو الأول هو الأكثر احتمالاً.
تهديد إلكتروني واسع النطاق وفعال للوصول الأولي
في عامه الأول فقط من نشاطه، كان Raspberry Robin بالفعل أحد أكثر الديدان شهرة في العالم آلاف الإصابات شهريا. تتبعه Red Canary على أنه التهديد السابع الأكثر انتشارًا لعام 2022، مع تزايد أعدادها شهرًا بعد شهر فقط.
في الوقت الحاضر، يعد Raspberry Robin خيار وصول أولي شائعًا لـ جهات التهديد مثل Evil Corp، TA505، وأكثر من ذلك، المساهمة في الخروقات الكبرى في مؤسسات القطاعين العام والخاص.
يوضح سمادجا قائلاً: "تستخدم معظم البرامج الضارة المدرجة اليوم فيروسات متنقلة للانتشار في الشبكات لأنها مفيدة للغاية - فهي توفر الكثير من العمل الشاق الذي تبذله لتطوير هذه القدرات بنفسك". "على سبيل المثال، الوصول الأولي إلى النظام، وتجاوز الأمان، والبنية التحتية للقيادة والتحكم - كل ما تحتاجه هو شرائه، ودمجه، وهذا يجعل عملك أسهل بكثير."
ويضيف أن هذا صحيح بشكل خاص، "لأن أدوات مثل Raspberry Robin تستمر في التحسن، باستخدام صفر يوم ويوم واحد جديدين، وتحسين بنيتها التحتية، وتقنيات التهرب الخاصة بها. لذلك أعتقد أنها لن تختفي أبدًا. إنها خدمة رائعة للمهاجم."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/application-security/raspberry-robin-1-days-escalate-unpatched-networks
