O worm passou a combinar entrega por arquivos compactados, side-loading com OleView.exe, exploração local de privilégios e evasões adicionais para dificultar análise e detecção em ambientes Windows.
| Componente | Worm Raspberry Robin, amostras Windows empacotadas, DLL maliciosa carregada por OleView.exe e exploits locais de privilégio contra componentes do sistema. |
| Vetor | Arquivos compactados como File.Chapter-1.rar, File_Part-1.rar e Part.File-1.rar foram observados como anexos baixados do Discord; a execução envolve side-loading de DLL ao lado de OleView.exe. |
| Impacto | A cadeia pode obter execução do payload principal, persistência via RunOnce, comunicação por Tor e elevação local para SYSTEM quando o host Windows é vulnerável aos exploits embarcados. |
| Prioridade | Validar atualização de Windows contra CVE-2023-36802, CVE-2023-29360 e vulnerabilidades antigas exploradas, além de caçar side-loading com OleView.exe, uso anômalo de PAExec.exe e interferência em ETW. |
| Versões | O exploit de CVE-2023-36802 é descrito como relevante para Windows 10 até o build 22621; o malware seleciona caminhos conforme versão e OSBuildNumber. |
| Artefatos | Foram descritos OleView.exe, DLL empacotada, cleanmgr.exe, comando operacional omitido, regsvr32.exe, runonce.exe, RunLegacyCPLElevated.exe, PAExec.exe, KernelCallbackTable, NtTraceEvent e chaves RunOnce. |
Raspberry Robin continua evoluindo como worm e como mecanismo de acesso inicial dentro de um ecossistema criminoso maior. A atividade descrita combina entrega por arquivo compactado, abuso de binários legítimos do Windows, execução em memória, exploração local de privilégios e comunicação por Tor. O ponto técnico mais relevante é a redução do intervalo entre a divulgação pública de vulnerabilidades locais no Windows e a incorporação de exploits funcionais ao fluxo do malware. Isso altera a janela operacional para defesa: hosts que permanecem algumas semanas sem atualização podem ficar expostos a uma cadeia que já testa versão, build e condições locais antes de acionar o exploit apropriado.
A campanha observada a partir de outubro manteve características já associadas ao malware, mas mudou detalhes suficientes para quebrar detecções baseadas apenas em comportamento antigo. O vetor inicial deixou de depender somente de atalhos LNK disfarçados de unidade removível ou compartilhamento de rede e passou a incluir arquivos RAR baixados como anexos no Discord. Após a abertura do conteúdo, a cadeia usa OleView.exe para carregar uma DLL maliciosa empacotada. Essa escolha favorece side-loading porque o executável legítimo normalmente depende de DLLs e pode aparecer em diretórios não padronizados acompanhado de bibliotecas trazidas para disco.
A função do malware não se limita à execução inicial. A amostra descrita atua como broker de acesso inicial para implantação posterior por outros grupos criminosos e inclui recursos para elevar privilégios, movimentar-se lateralmente, persistir e dificultar inspeção em ambientes de análise. Entre os recursos observados estão verificação de APIs instrumentadas, interferência em ETW por patching de NtTraceEvent, tentativa de encerrar processos ligados a UAC e RunOnce, verificação de sessão remota e rotinas para bloquear desligamento do sistema enquanto a cadeia conclui sua execução. Esses detalhes indicam uma preocupação explícita com tempo de permanência, redução de visibilidade e adaptação a controles de endpoint.
A entrega analisada começa com arquivos compactados que usam nomes como File.Chapter-1.rar, File_Part-1.rar e Part.File-1.rar. O conteúdo leva à execução de OleView.exe em conjunto com uma DLL maliciosa. A DLL contém uma amostra empacotada de Raspberry Robin e expõe nomes de funções de exportação incomuns que acabam conduzindo à API kernel32.Sleep. O uso desse padrão ajuda a mascarar a execução como dependência de um componente legítimo, especialmente porque OleView.exe raramente aparece isolado e porque a presença de DLLs associadas ao executável pode parecer compatível com seu funcionamento normal.
A etapa de elevação de privilégio usa exploits locais armazenados de forma criptografada com RC4. O malware não aciona esses módulos de forma indiscriminada: ele verifica a versão e o build do Windows para decidir se a máquina corresponde às condições de exploração. Nas amostras recentes, os exploits são injetados em cleanmgr.exe, enquanto variantes anteriores usavam winver.exe. A técnica de injeção citada envolve KernelCallbackTable, e o carregador residente em memória prepara um PE externo que contém o exploit. Essa separação entre loader, payload e exploit dificulta análise estática e permite trocar módulos de exploração sem reescrever todo o fluxo.
Um dos exploits recentes mira CVE-2023-36802, uma confusão de tipo no Microsoft Streaming Service Proxy que permite elevação local de privilégio para SYSTEM. A falha é acionada por operações IOCTL específicas contra o dispositivo mkssrv, depois da inicialização de contexto que define o campo FsContext2 para um objeto de tipo esperado pelo fluxo vulnerável. O exploit calcula offsets como Token e PreviousMode conforme a versão do Windows, consulta informações de handles por NtQuerySystemInformation e usa estruturas conhecidas para obter endereços de objetos do núcleo. O contexto também registra que não há evidência de que Raspberry Robin tenha usado essa falha como zero-day; a cadeia descrita a incorporou depois da divulgação pública.
Outra exploração observada envolve CVE-2023-29360, também relacionada a mskssrv.sys. Essa vulnerabilidade foi divulgada publicamente em junho de 2023 e apareceu no fluxo de Raspberry Robin em agosto do mesmo ano. O exploit compartilha o mesmo loader e esquema de ofuscação de strings descritos para CVE-2023-36802, o que sugere reaproveitamento de infraestrutura de exploração. Em 2022, o malware já havia usado CVE-2021-1732, mas com intervalo maior desde a divulgação. A diferença de tempo entre falha divulgada e adoção pelo malware mostra que a cadeia passou a transformar vulnerabilidades de 1 dia em capacidade operacional com maior rapidez.
A superfície primária é composta por estáções Windows capazes de executar a cadeia entregue por arquivo compactado e que ainda estejam vulneráveis às falhas locais usadas para elevação. A execução inicial depende de interação com o arquivo entregue e do carregamento da DLL por OleView.exe; a elevação depende do build e da configuração do sistema. O contexto descreve CVE-2023-36802 como relevante para Windows 10 até o build 22621, com lógica interna que compara OSBuildNumber obtido a partir do PEB antes de seguir por caminhos específicos. Isso significa que a presença do malware em disco não implica exploração local bem-sucedida em todos os hosts, mas hosts desatualizados ampliam o impacto possível.
Depois da execução, a cadeia mantém vários estágios em memória em formato próprio, desempacotados e executados sem a seção de cabeçalhos. O código permanece fortemente ofuscado em diferentes fases, incluindo o payload principal. A persistência envolve gravação na chave RunOnce, o que leva à execução por runonce.exe após reinicialização. Em seguida, o malware tenta encerrar runonce.exe para reduzir rastros do mecanismo utilizado. Também há tentativa de finalizar RunLegacyCPLElevated.exe, componente legítimo associado à elevação de itens do Painel de Controle, em uma etapa relacionada à redução de prompts ou interferências de UAC.
A movimentação lateral foi ajustada. Em vez de usar PsExec.exe, a cadeia passou a usar PAExec.exe, ferramenta administrativa legítima com finalidade de execução remota de processos. O binário é obtido do site oficial do fornecedor, citado no contexto como hxxps://www.poweradmin[.]com/paexec.exe. A mudança é relevante para defesa porque ambientes que criaram detecções rígidas apenas para PsExec.exe podem perder a variação. O payload remoto continua descrito como pacote autoextraível, com configuração preservando formato e sintaxe semelhantes aos observados anteriormente.
A comunicação de comando e controle também mudou. Antes de contatar servidores reais, o malware tenta alcançar domínios Tor legítimos e conhecidos para verificar se há resposta. Se essa verificação falha, a comunicação com C2 não prossegue. Quando a checagem passa, o malware escolhe aleatoriamente um endereço de uma lista com 60 domínios .onion codificados, agora no formato v3. Os dados enviados incluem informações semelhantes às versões anteriores, com acréscimo de árvore de processos do malware e nomes de arquivos dentro de C:\. O conteúdo é criptografado com RC4 e codificado em base64 como caminho da requisição; a comunicação Tor é realizada por um módulo injetado em processos como comando operacional omitido ou regsvr32.exe.
- Estáções Windows que executaram arquivos
RARrecebidos por Discord e carregaramOleView.exefora de locais esperados. - Hosts sem correção para
CVE-2023-36802,CVE-2023-29360ou vulnerabilidades locais antigas exploráveis pelo malware. - Ambientes que permitem ferramentas de execução remota administrativas sem controle granular, incluindo
PAExec.exe. - Endpoints com baixa visibilidade de ETW, injeção em processos legítimos e persistência por
RunOnce.
A investigação defensiva deve começar pela cadeia de entrega. Eventos de criação de processo e escrita em disco devem ser correlacionados para identificar arquivos compactados com nomes similares aos observados, extração para diretórios temporários ou incomuns e execução de OleView.exe acompanhado por DLL desconhecida. Como a técnica tenta parecer compatível com o carregamento normal de dependências, o caminho do executável, a origem do arquivo, a assinatura da DLL, a linha temporal de criação e o processo pai são mais importantes do que a simples presença de OleView.exe. O mesmo raciocínio se aplica a cleanmgr.exe, comando operacional omitido e regsvr32.exe: são binários legítimos, mas o contexto de execução pode denunciar injeção ou carregamento anômalo.
Para elevação de privilégio, a telemetria deve procurar falhas e sucessos próximos a chamadas contra o dispositivo mkssrv, uso incomum de IOCTLs ligados ao Microsoft Streaming Service Proxy, abertura de handles do sistema e mudanças abruptas de integridade ou token em processos que não deveriam obter SYSTEM. A cadeia também consulta versão do sistema e ajusta offsets conforme o build, portanto a presença de lógica de fingerprinting de Windows em um processo sem relação com inventário ou atualização pode ser um indicador comportamental. Em EDR, eventos de injeção em cleanmgr.exe por um processo recém-criado a partir de arquivo compactado devem receber prioridade elevada.
Os recursos de evasão fornecem sinais adicionais. A verificação de hooks em GetUserDefaultLangID e GetModuleHandleW indica tentativa de detectar instrumentação. O patching de NtTraceEvent reduz a emissão de eventos por ETW e deve ser tratado como sinal de evasão, especialmente quando surge no mesmo intervalo de persistência, injeção e comunicação Tor. A criação de threads ocultas por NtSetInformationThread com ThreadHideFromDebugger, loops de AbortSystemShutdownW e uso de ShutdownBlockReasonCreate também são relevantes, pois indicam tentativa de impedir que o sistema encerre antes de a cadeia terminar suas etapas.
Na rede, o foco não deve ser publicar uma lista extensa de domínios, mas identificar o padrão. A cadeia testa conectividade com domínios Tor conhecidos e depois tenta comunicação com endereços .onion v3 codificados, usando um módulo Tor injetado em processo legítimo. Em proxy, firewall e EDR, a combinação de comando operacional omitido ou regsvr32.exe com tráfego compatível com Tor é mais útil do que bloquear um único indicador. A presença de caminhos codificados em base64 contendo dados criptografados e originados de processos Windows não associados a navegador ou cliente Tor deve ser investigada.
A persistência por RunOnce exige revisão de chaves de registro modificadas antes da reinicialização e execução subsequente por runonce.exe. O encerramento desse processo depois da execução pode reduzir evidências visíveis, mas eventos de registro, criação de processo e término de processo ainda podem formar a linha temporal. Em movimentação lateral, detecções devem cobrir PAExec.exe além de PsExec.exe, principalmente quando o binário aparece em estáção de usuário, é baixado pouco antes da execução ou inicia pacote autoextraível em host remoto.
OleView.exeexecutado de diretório temporário, de perfil de usuário ou ao lado de DLL recém-gravada.- Injeção ou carregamento de PE em memória em
cleanmgr.exe,comando operacional omitidoouregsvr32.exe. - Alteração de
NtTraceEvent, threads ocultas comThreadHideFromDebuggere uso repetido deAbortSystemShutdownW. - Criação ou consumo de chave
RunOnceseguida de término incomum derunonce.exe. - Execução de
PAExec.exeem ambiente onde a ferramenta não faz parte do inventário administrativo aprovado.
A mitigação deve priorizar atualização de Windows e redução de exposição a execução inicial. Como a cadeia seleciona exploits conforme versão e build, corrigir CVE-2023-36802, CVE-2023-29360 e vulnerabilidades locais antigas reduz a chance de elevação para SYSTEM, mesmo que um usuário execute a etapa inicial. A defesa também deve validar se hosts que ficaram fora de janela de patch ainda aceitam exploração local no componente mskssrv.sys, especialmente estáções Windows 10 até o build indicado no contexto. Correção sem validação deixa lacunas em máquinas desligadas, imagens antigas, VDI e notebooks fora da rede corporativa.
No controle de execução, é necessário tratar side-loading como condição de risco. Regras de aplicação devem restringir OleView.exe fora de caminhos esperados e bloquear bibliotecas não aprovadas carregadas por binários legítimos. O mesmo vale para ferramentas administrativas de execução remota: PAExec.exe deve estar sob allowlist explícita, com justificativa operacional, origem validada e logs centralizados. Ambientes que só monitoram PsExec.exe precisam ampliar cobertura para ferramentas equivalentes, porque a mudança observada mostra adaptação a assinaturas comportamentais antigas.
Para contenção, hosts com sinais da cadeia devem ser isolados antes de reinicialização não planejada, porque a persistência por RunOnce e as rotinas de bloqueio de desligamento podem alterar a ordem de evidências. A resposta deve coletar artefatos de registro, memória, árvore de processos, módulos carregados e histórico de rede. Como parte do fluxo vive em memória e pode remover cabeçalhos de PE, depender apenas de arquivos em disco pode subestimar o comprometimento. A investigação deve incluir processos legítimos que tenham recebido código injetado e validação de comunicação Tor por binários Windows.
A validação pós-contenção deve confirmar remoção de chaves RunOnce, ausência de binários administrativos não autorizados, inexistência de DLLs suspeitas ao lado de OleView.exe e restauração da telemetria ETW quando houver suspeita de patching em NtTraceEvent. Também é recomendável revisar regras de EDR para detectar a combinação de arquivos compactados de origem externa, side-loading, tentativa de elevação local e comunicação Tor. O objetivo não é bloquear apenas uma variante de Raspberry Robin, mas reduzir a utilidade das técnicas que a campanha passou a alternar para evitar detecções anteriores.
- Aplicar e comprovar correções para
CVE-2023-36802,CVE-2023-29360e falhas locais antigas usadas por malware. - Bloquear ou alertar
OleView.exeexecutado fora de local esperado com DLL recém-criada no mesmo diretório. - Controlar
PAExec.exepor allowlist, inventário e alerta de uso fora de servidores administrativos autorizados. - Investigar patching de
NtTraceEvent, injeção em processos legítimos e tráfego Tor originado decomando operacional omitidoouregsvr32.exe. - Coletar memória, registro e linha temporal de processos antes de limpeza, porque vários estágios são executados sem depender integralmente de arquivos persistentes.
0 Comentários