Agencije za kibernetičku bezbjednost upozorile su na pojavu novih varijanti malicioznog softvera TrueBot. Ova pojačana pretnja sada cilja kompanije u SAD-u i Kanadi s namjerom da izvuku povjerljive podatke iz infiltrovanih sistema.
Ovi sofistikovani napadi iskorištavaju kritičnu ranjivost (CVE-2022-31199) na široko korišćenom Netwrix Auditor serveru i njegovim povezanim agentima.
Ova ranjivost omogućava neovlaštenim napadačima da izvrše maliciozni kod sa privilegijama korisnika SISTEMA, dajući im neograničen pristup kompromitovanim sistemima.
Maliciozni softver TrueBot, povezan s kibernetičkim kriminalnim kolektivima Silence i FIN11, raspoređen je da izvlači podatke i širi ransomware, ugrožavajući sigurnost brojnih infiltrovanih mreža.
Kibernetički kriminalci dobijaju svoje početno uporište iskorištavanjem citirane ranjivosti, a zatim nastavljaju sa instaliranjem TrueBot-a. Nakon što probiju mreže, instaliraju FlawedGrace Remote Access Trojan (RAT) kako bi eskalirali svoje privilegije, uspostavili postojanost na kompromitovanim sistemima i izveli dodatne operacije.
“Tokom faze izvršavanja FlawedGrace-a, RAT pohranjuje šifrovane korisne podatke unutar registra. Alat može kreirati zakazane zadatke i ubaciti korisne podatke u msiexec[.]exe i svchost[.]exe, koji su komandni procesi koji omogućavaju FlawedGrace-u da uspostavi komandu i kontrolu (C2) konekcija na 92.118.36[.]199, na primjer, kao i učitavanje biblioteka dinamičkih veza (DLL) kako bi se postigla eskalacija privilegija“ kaže se u savjetu.
Kibernetički kriminalci pokreću signale Cobalt Strike u roku od nekoliko sati od prvog upada. Ovi beacon-i olakšavaju zadatke nakon eksploatacije, uključujući krađu podataka i instaliranje ransomware-a ili različitih sadržaja malicioznog softvera.
Dok su se prethodne verzije malicioznog softvera TrueBot obično širile putem malicioznih priloga email-a, ažurirane verzije koriste ranjivost CVE-2022-31199 da bi dobile početni pristup.
Ova strateška promjena omogućava hakerima da izvode napade šireg obima unutar infiltrovanih okruženja. Važno je da softver Netwrix Auditor koristi više od 13.000 organizacija širom svijeta, uključujući poznate firme kao što su Airbus, Allianz, UK NHS i Virgin.
Savjet ne pruža konkretne informacije o žrtvama ili broju organizacija pogođenih TrueBot napadima.
Izveštaj takođe naglašava učešće Raspberry Robin malware-a u ovim TrueBot napadima, kao i drugih postkompromisnih malvera kao što su IcedID i Bumblebee. Koristeći Raspberry Robin kao platformu za distribuciju, napadači mogu doći do više potencijalnih žrtava i pojačati uticaj svojih malicioznih aktivnosti.
S obzirom da se Silence i TA505 grupe aktivno infiltruju u mreže radi novčane koristi, za organizacije je ključno da implementiraju predložene sigurnosne mjere.
Da bi se zaštitile od TrueBot malicioznog softvera i sličnih pretnji, organizacije bi trebale uzeti u obzir sljedeće preporuke:
- Instalirajte ažuriranja: Organizacije koje koriste Netwrix Auditor treba da instaliraju neophodna ažuriranja kako bi ublažile ranjivost CVE-2022-31199 i ažurirale svoj softver na verziju 10.5 ili noviju.
- Poboljšajte sigurnosne protokole: Uvedite višefaktorsku autentifikaciju (MFA) za sve zaposlene i usluge.
- Budite oprezni zbog znakova infiltracije (IOC): Sigurnosni timovi moraju aktivno pregledati svoje mreže u potrazi za indikacijama kontaminacije TrueBot-om. Zajedničko upozorenje pruža smjernice koje pomažu u otkrivanju i smanjenju utjecaja malicioznog softvera.
- Prijavite sve incidente: Ako organizacije otkriju MOK-ove ili posumnjaju na infiltraciju TrueBot-a, moraju brzo djelovati u skladu s radnjama odgovora na incident navedenim u upozorenju i prijaviti incident CISA-i ili FBI-u.
Izvor: The Hacker News