Код красный для всего мира: угроза от ботнета TrueBot усиливается

6 июля 2023 года власти США и Канады выпустили предупреждение о возросшей активности вредоносных программ Truebot , связанных с новыми тактиками, методами и процедурами ( TTPs ).

В совместном бюллетене Агентства по кибербезопасности и защите инфраструктуры ( CISA ), Федерального бюро расследований (ФБР), Центра интернет-безопасности ( MS-ISAC ) и Канадского центра кибербезопасности (CCCS) отмечается, что хакеры используют новые варианты вредоносного ПО Truebot для атак на организации в США и Канаде. Специалисты с 31 мая стали отмечать всплеск финансово мотивированной активности TrueBot.

Известно, что Truebot используется известными киберпреступными группировками Clop и Silence для кражи информации жертв. Создание Truebot в 2017 году приписывается группировке Silence, которая специализировалась на масштабных атаках на финансовые учреждения.

Прежде злоумышленники распространяли данное ПО через вредоносные вложения в фишинговых электронных письмах, однако, по данным агентств, теперь они переключились на новые методы и начали использовать варианты, эксплуатирующие RCE -уязвимость ( CVE-2022-31199 CVSS: 9.8 ) в приложении Netwrix Auditor. Эксплуатация ошибки позволяет злоумышленникам получить первоначальный доступ и перемещаться по скомпрометированной сети.

Приложение Netwrix Auditor используется более 13 000 организациями в 100 странах мира для аудита локальных и облачных ИТ-систем, а также аудита безопасности и контроля соответствия требованиям. По состоянию на декабрь 2022 года было обнаружено более 500 случаев заражения ботнетом TrueBot преимущественно в США и Канаде.

Далее в бюллетене поясняется, что после загрузки вредоносного файла Truebot переименовывает себя и развертывает FlawedGrace на хост. Затем RAT -троян изменяет реестр и программы диспетчера очереди печати, что позволяет ему повышать привилегии и устанавливать постоянство. Эксперты также напомнили о связи Truebot с другими инструментами доставки вредоносных программ , а именно с Raspberry Robin и Cobalt Strike .

Майский всплеск активности TrueBot обнаружили ещё исследователи кибербезопасности VMware , которые указали, что основная функция TrueBot — собирать информацию с хоста и развертывать полезные нагрузки следующего этапа, такие как Cobalt Strike, троян FlawedGrace и ранее неизвестную утилиту для эксфильтрации данных Teleport . Далее выполняется боковое перемещение и сбор данных, а затем запускается бинарный файл программы-вымогателя Clop. Анализ утилиты Teleport показал, что ПО используется исключительно для сбора файлов из OneDrive и Загрузок, а также сообщений из Outlook .

Специалисты предложили шаги для снижения возросшей угрозы со стороны Truebot, включая мониторинг и контроль выполнения ПО и применение исправлений Netwrix Auditor.