Check Point Software Technologiesは2月7日(米国時間)、「Raspberry Robin: Evolving Cyber Threat with Advanced Exploits and Stealth Tactics - Check Point Blog」において、分析妨害技術を搭載した自己増殖型の高度なマルウェア「Raspberry Robin」が進化していると報じた。Raspberry Robinについては、2023年4月に公開された「Raspberry Robin: Anti-Evasion How-To & Exploit Analysis - Check Point Research」において詳しく解説されている。

  • Raspberry Robin: Evolving Cyber Threat with Advanced Exploits and Stealth Tactics - Check Point Blog

    Raspberry Robin: Evolving Cyber Threat with Advanced Exploits and Stealth Tactics - Check Point Blog

マルウェア「Raspberry Robin」の 進化の詳細

今回公開された新しいRaspberry Robinに関する詳しい分析は、「Raspberry Robin Keeps Riding the Wave of Endless 1-Days - Check Point Research」から確認可能

Check Pointによると、新しいRaspberry Robinは2つの新しいローカル権限昇格(LPE: Local Privilege Escalation)の脆弱性(CVE-2023-36802、CVE-2023-29360)を悪用する機能を搭載しているという。Raspberry Robinの開発者はこれら脆弱性を詳細が公開された直後に悪用していることから、優れた開発能力を持っているか、または洗練された脆弱性市場へのアクセス方法を持っている可能性があるとされる。

これまではUSBドライブに重点を置いた拡散手法だったが、Discordを悪用した手法に移行したことが確認されている。これにより、ステルス性がより強化され、従来のセキュリティ対策による検出は困難になるとされる。通信と横移動の技術についても変化しており、これも検出を回避するための対策とみられている。

対策

Check Pointはこの進化を続けるマルウェアへの対策として、堅牢でプロアクティブなセキュリティソリューションの導入を推奨している。このような高度なサイバー脅威から組織を守るためには、脅威を常に把握し、包括的なセキュリティ戦略の導入が必要だとしている。Check Pointはこの新しいマルウェアを分析する過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。