Raspberry Robin Malware 更新概述

关键要点

• Raspberry Robin（亦称为 QNAP 蠕虫）已引入若干更新，包括使用新的零日漏洞利用工具。
• 新的漏洞被标记为 CVE-2023-36802 和 CVE-2023-29360，可能已被攻击者购买。
• 恶意文件首次在 Discord 上传播，并使用 PAExec.exe 进行横向移动。
• 新版本只在收到 Tor 域的响应后与指挥控制服务器建立通信。
• 这些更新显示出 Raspberry Robin 对于快速整合漏洞的能力，确保其威胁水平显著。

根据 的报道，Raspberry Robin恶意软件近期进行了多项更新，包括引入了两种新的零日漏洞利用工具。这些漏洞分别被跟踪为 CVE-2023-36802 和 CVE-2023-29360。根据 Check Point 的报告，这些漏洞利用工具可能已经被 Raspberry Robin 的运营者 Storm-0856购买，因为相较于恶意软件的核心模块，它们的混淆程度较低，并且以外部 64 位可执行文件的形式使用。

除了引入新的漏洞利用工具外，研究人员还发现攻击者开始在 Discord 上传播恶意文件，以扩散这一恶意软件。他们指出，新的 Raspberry Robin变体开始使用 PAExec.exe 进行横向移动逻辑，而不再是 PSExec.exe。此外，较新的 Raspberry Robin 版本还在收到 Tor域的响应后才会与指挥控制服务器建立通信。 Check Point 提到了，“Raspberry Robin能够迅速将新披露的漏洞整合进其武器库，进一步表明其具有显著的威胁水平，因为它能在许多组织应用补丁之前就利用这些漏洞。”

“Raspberry Robin 的能力快速应对新漏洞的披露显示出其威胁程度的加强，攻击者积极利用漏洞。” — Check Point 研究人员