Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Raspberry Robin phát hiện các lỗi trong 1 ngày để xâm nhập sâu vào mạng Windows

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 135

Sâu Raspberry Robin đang kết hợp các hoạt động khai thác một ngày gần như ngay khi chúng được phát triển, nhằm cải thiện khả năng leo thang đặc quyền của nó. 

Các nhà nghiên cứu từ nghi phạm Check Point rằng các nhà phát triển đằng sau công cụ truy cập ban đầu đang ký hợp đồng với những kẻ buôn lậu khai thác Dark Web, cho phép họ nhanh chóng kết hợp các khai thác mới để có được các đặc quyền cấp hệ thống trước khi các khai thác đó được tiết lộ cho công chúng và trước khi nhiều tổ chức bị ảnh hưởng tìm cách vá lỗi liên quan của họ. những điểm yếu.

Eli Smadja, quản lý nhóm của Check Point giải thích: “Đây là một phần rất mạnh mẽ của chương trình giúp kẻ tấn công có nhiều khả năng trốn tránh hơn và thực hiện các hành động có đặc quyền cao hơn những gì chúng có thể làm trong bất kỳ tình huống nào khác”.

Raspberry Robin: Kết hợp khai thác nhanh hơn ngay bây giờ

Raspberry Robin được phát hiện lần đầu tiên vào năm 2021 và ra mắt vào năm một bài đăng trên blog của Red Canary năm tiếp theo. Kể từ đó, các nhà phát triển của nó đã trở nên chủ động hơn nhiều, nâng cấp công cụ của họ trong thời gian ngắn hơn trước đây.

Ví dụ: hãy xem xét bản nâng cấp sớm: khi nó kết hợp khai thác CVE-2021-1732, một lỗ hổng leo thang đặc quyền với điểm “cao” 7.8/10 trên thang điểm CVSS. Lỗi trình điều khiển Windows Win32k lần đầu tiên được tiết lộ vào tháng 2021 năm XNUMX, nhưng nó chỉ được tích hợp vào Raspberry Robin vào năm sau.

Ngược lại, điều đó trái ngược với một lỗ hổng leo thang đặc quyền khác từ tháng 2023 vừa qua: CVE-29360-8.4, một lỗi “cao” 10/XNUMX trong proxy dịch vụ phát trực tuyến của Microsoft Stream. Raspberry Robin đã khai thác nó vào tháng XNUMX, trong khi việc khai thác công khai sẽ không được đưa ra ánh sáng cho đến tháng sau.

Rồi có CVE-2023-36802, lỗi tương tự trong Microsoft Stream với xếp hạng CVSS 7.8. Được tiết lộ lần đầu tiên vào ngày 12 tháng XNUMX, nó đã được Raspberry Robin khai thác vào đầu tháng XNUMX, một lần nữa trước khi bất kỳ khai thác công khai nào được phát hành (các nhà phát triển không xứng đáng được ghi nhận quá nhiều trong trường hợp này, vì một khai thác đã có sẵn trên Dark Web kể từ tháng XNUMX .)

Nói cách khác, khoảng thời gian mà nhóm cần để vũ khí hóa các lỗ hổng sau khi tiết lộ đã tăng từ một năm, hai tháng, rồi hai tuần.

Để giải thích công việc nhanh chóng của họ, Check Point gợi ý rằng các nhà phát triển sâu đang mua các phần khai thác của họ từ các nhà phát triển một ngày trên Dark Web hoặc tự phát triển chúng. Một số sai lệch nhất định giữa sâu và mã khai thác cho thấy kịch bản trước có nhiều khả năng xảy ra hơn.

Một mối đe dọa mạng truy cập ban đầu hiệu quả, rộng rãi

Chỉ trong năm đầu tiên hoạt động, Raspberry Robin đã là một trong những loại sâu phổ biến nhất thế giới, với hàng nghìn ca nhiễm trùng mỗi tháng. Red Canary đã theo dõi nó như mối đe dọa phổ biến thứ bảy của năm 2022, với số lượng của nó chỉ tăng lên hàng tháng.

Ngày nay, Raspberry Robin là một tùy chọn truy cập ban đầu phổ biến cho những kẻ đe dọa như Evil Corp, TA505, v.v., góp phần vào vi phạm lớn của các tổ chức khu vực công và tư nhân.

Smadja giải thích: “Hầu hết các phần mềm độc hại hàng đầu được liệt kê hiện nay đều sử dụng sâu để phát tán trong mạng vì nó rất hữu ích — nó giúp bạn tiết kiệm rất nhiều công sức phát triển những khả năng này”. “Ví dụ: quyền truy cập ban đầu vào hệ thống, vượt qua bảo mật và cơ sở hạ tầng chỉ huy và kiểm soát – bạn chỉ cần mua nó, kết hợp nó và nó giúp công việc của bạn dễ dàng hơn nhiều.”

Ông cho biết thêm, điều này đặc biệt đúng, “bởi vì các công cụ như Raspberry Robin liên tục được cải tiến, sử dụng các zero-day và một ngày mới, cải thiện cơ sở hạ tầng cũng như các kỹ thuật trốn tránh của chúng. Vì thế tôi nghĩ nó sẽ không bao giờ biến mất. Đó là một dịch vụ tuyệt vời dành cho kẻ tấn công.”

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.