Малварь Raspberry Robin фатальный разбор!

👾 В новом выпуске Breaking Malware Алексей Вишняков, эксперт Standoff 365, разобрал от а до я новую вредоносную кампанию, в которой используется червь Raspberry Robin. Об этом вредоносе известно с 2021 года: его предыдущие версии умели распространяться через USB-накопители. За прошедшие годы червь эволюционировал и стал использоваться как промежуточный компонент для доставки другого ВПО. 🗄 Путь доставки червя начинается с простого — через Discord жертва получает RAR-архив с двумя файлами: один — исполняемый (EXE), второй — динамическая библиотека DLL. И фактически заражение стартует с запуска безопасного, доверенного инструмента Microsoft — oleview. Далее Raspberry Robin повышает привилегии в системе с помощью двух 0-day-эксплойтов и техники KernelCallbackTable. О них в выпуске и рассказал Алексей. 🤔 Как обнаружить и остановить Raspberry Robin? Например, с помощью песочницы PT Sandbox или продукта для защиты конечных точек MaxPatrol EDR, которые детектят вредонос на ранних этапах атаки. Таймкоды: 0:00 — интро 0:40 — предыстория 1:27 — вектор проникновения 4:18 — KernelCallbackTable инжект 5:43 — CVE-2023-36802 7:33 — CVE-2023-29360 9:55 — Anti-analysis-evasion 10:45 — детекты 13:20 Финал #PositiveЭксперты