Raspberry Robinマルウェアが、新たなエクスプロイトとDiscordを介した拡散機能を備えてアップグレードされました。このマルウェアは、ローカル権限昇格を実現するために2つの新しいワンデイエクスプロイトを使用しています。Check Pointの報告によると、Raspberry Robinは、エクスプロイトの販売者からアクセスしているか、または短期間で自らエクスプロイトを開発している可能性があります。Raspberry Robin(別名QNAPワーム)は、2021年に初めて文書化された、ランサムウェアを含む他の悪意のあるペイロードへの初期アクセスを容易にするトップのマルウェアファミリーの一つとして知られています。このマルウェアは、感染したUSBドライブなど複数のエントリーベクターを介して拡散され、Evil Corp、Silence、TA505など他のe-crimeグループとの関連があるとされる複雑で相互接続されたマルウェアエコシステムの一部としてMicrosoftによって記述されています。
Check Pointは、2023年4月にCVE-2020-1054とCVE-2021-1732を含むワンデイエクスプロイトの使用を以前に強調しており、2023年10月以降「大規模な攻撃の波」を検出しています。脅威アクターは、検出と分析を困難にするために、追加のアンチアナリシスおよび難読化技術を実装しています。特に、Raspberry Robinは、多くの組織がパッチを適用する前に、公に開示されたばかりの、または公に開示された直後の異なるエクスプロイトを使用し続けています。これらのワンデイエクスプロイトは、使用時点で公に開示されていませんでした。CVE-2023-36802の脆弱性のエクスプロイトは、ゼロデイとして野生で使用され、ダークウェブで販売されていました。Cyfirmaの昨年末の報告によると、CVE-2023-36802のエクスプロイトは2023年2月にダークウェブフォーラムで広告されていました。これは、MicrosoftとCISAがアクティブな悪用に関するアドバイザリーをリリースする7ヶ月前です。Windowsメーカーによって2023年9月にパッチが適用されました。Raspberry Robinは、2023年10月にこの欠陥のエクスプロイトを使用し始めたとされています。これは、公開エクスプロイトコードが利用可能になったのと同じ月です。
初期アクセス経路に関するもう一つの重要な変更は、Raspberry Robinサンプルを含む悪質なRARアーカイブファイルをDiscord上でホストすることによるものです。新しいバリアントでは、横方向の移動ロジックも変更され、PsExec.exeの代わりにPAExec.exeが使用されています。また、コマンドアンドコントロール(C2)通信方法も、60個のハードコードされたonionアドレスのリストからランダムにV3 onionアドレスを選択するように変更されました。Check Pointは、「最初に正当で有名なTorドメインに接触を試み、応答があるかどうかを確認します。応答がない場合、Raspberry Robinは実際のC2サーバーとの通信を試みません」と説明しています。
【ニュース解説】
Raspberry Robinマルウェアが新たなエクスプロイトとDiscordを介した拡散機能を備えてアップグレードされたことが報告されました。このマルウェアは、特定の脆弱性を悪用することで、システム上での権限を不正に昇格させることが可能になる新しいワンデイエクスプロイトを使用しています。これにより、Raspberry Robinは、感染したUSBドライブなど複数の手段を通じて拡散し、ランサムウェアを含む他の悪意のあるペイロードの配布に利用されることが明らかになっています。
このマルウェアは、2021年に初めて文書化され、その後も進化を続けています。特に、新たに報告されたエクスプロイトの使用や、Discordを介した拡散手法の採用は、Raspberry Robinの脅威レベルがさらに高まっていることを示しています。また、検出と分析を困難にするためのアンチアナリシスおよび難読化技術の実装も進められています。
このようなマルウェアの進化は、セキュリティ対策の重要性を改めて浮き彫りにしています。特に、新たに公開されたばかりの脆弱性を悪用する「ワンデイエクスプロイト」の使用は、多くの組織がパッチを適用する前に攻撃を受けるリスクを高めています。このため、脆弱性情報の迅速な把握と対応が、より一層求められるようになっています。
また、Raspberry RobinがDiscordを利用して拡散する手法は、ソーシャルメディアやコミュニケーションプラットフォームがマルウェアの拡散に悪用されるリスクがあることを示しています。このようなプラットフォームを利用する際には、不審なファイルやリンクに注意し、セキュリティ対策を講じることが重要です。
長期的な視点では、マルウェアの進化とそれに対抗するセキュリティ技術の競争は続くことが予想されます。Raspberry Robinのような脅威に効果的に対処するためには、セキュリティ対策の継続的な更新と教育、そして脆弱性情報の迅速な共有が不可欠です。また、セキュリティコミュニティ間の協力も、このような脅威に対抗する上で重要な役割を果たします。
from Raspberry Robin Malware Upgrades with Discord Spread and New Exploits.
