Operator Raspberry Robin dikabarkan menggunakan dua eksploitasi one-day baru dalam upayanya untuk memperoleh hak istimewa lokal, menunjukkan bahwa malware ini terus berkembang dan disempurnakan untuk tetap tersembunyi.
Menurut laporan yang dikutip dari The Hacker News, Check Point menyatakan bahwa Raspberry Robin, yang juga dikenal sebagai worm QNAP, telah menggunakan akses ke penjual eksploitasi atau bahkan mengembangkan sendiri eksploitasi tersebut dalam waktu singkat. Malware ini, yang pertama kali muncul pada tahun 2021, tergolong sebagai keluarga malware penghindar yang sering digunakan sebagai pintu masuk bagi serangan berbahaya lainnya, termasuk ransomware.
Dikaitkan dengan pelaku ancaman yang dikenal sebagai Storm-0856 (sebelumnya DEV-0856), Raspberry Robin menyebar melalui berbagai vektor, termasuk melalui drive USB yang terinfeksi. Microsoft menyebutnya sebagai bagian dari “ekosistem malware yang kompleks dan saling berhubungan” yang terhubung dengan kegiatan kejahatan elektronik lainnya.
Baca Juga : Organisasi Nirlaba Islam di Arab Saudi Jadi Sasaran Kampanye Spionase Siber
Penggunaan eksploitasi one-day, seperti CVE-2020-1054 dan CVE-2021-1732, oleh Raspberry Robin untuk meningkatkan hak istimewa lokal sebelumnya telah diperhatikan oleh Check Point pada April 2023.
Perusahaan keamanan siber tersebut juga mencatat bahwa Raspberry Robin terus menggunakan berbagai eksploitasi untuk kerentanan yang ditemukan baik sebelum atau segera setelah diungkapkan kepada publik. Bahkan, eksploitasi untuk beberapa kerentanan, seperti CVE-2023-36802, bahkan dijual secara liar di web gelap sebelum diungkapkan secara publik oleh Microsoft dan CISA.
Selain itu, laporan dari Cyfirma menunjukkan bahwa eksploitasi untuk CVE-2023-36802 telah diiklankan di forum web gelap sebelum diungkapkan kepada publik. Raspberry Robin diketahui mulai memanfaatkan kerentanan ini sejak bulan Oktober 2023, seringkali segera setelah eksploitasi tersebut tersedia untuk publik.
Kemampuan Raspberry Robin untuk terus memasukkan eksploitasi baru ke dalam arsenalnya menunjukkan tingkat ancaman yang signifikan, dengan malware ini terus memanfaatkan kerentanan sebelum banyak organisasi menerapkan perbaikan. Salah satu perubahan signifikan lainnya adalah dalam metode komunikasi dan jalur akses awal, menunjukkan adaptabilitas dan kemandirian yang tinggi dalam upaya untuk tetap efektif di lingkungan digital yang terus berubah.
