Код красный для всего мира: угроза от ботнета TrueBot усиливается

6 июля 2023 года власти США и Канады выпустили предупреждение о возросшей активности вредоносных программ Truebot, связанных с новыми тактиками, методами и процедурами (TTPs).

В совместном бюллетене Агентства по кибербезопасности и защите инфраструктуры (CISA), Федерального бюро расследований (ФБР), Центра интернет-безопасности (MS-ISAC) и Канадского центра кибербезопасности (CCCS) отмечается, что хакеры используют новые варианты вредоносного ПО Truebot для атак на организации в США и Канаде. Специалисты с 31 мая стали отмечать всплеск финансово мотивированной активности TrueBot.

Известно, что Truebot используется известными киберпреступными группировками Clop и Silence для кражи информации жертв. Создание Truebot в 2017 году приписывается группировке Silence, которая специализировалась на масштабных атаках на финансовые учреждения.

Прежде злоумышленники распространяли данное ПО через вредоносные вложения в фишинговых электронных письмах, однако, по данным агентств, теперь они переключились на новые методы и начали использовать варианты, эксплуатирующие RCE-уязвимость ( CVE-2022-31199 CVSS: 9.8 ) в приложении Netwrix Auditor. Эксплуатация ошибки позволяет злоумышленникам получить первоначальный доступ и перемещаться по скомпрометированной сети.

Приложение Netwrix Auditor используется более 13 000 организациями в 100 странах мира для аудита локальных и облачных ИТ-систем, а также аудита безопасности и контроля соответствия требованиям. По состоянию на декабрь 2022 года было обнаружено более 500 случаев заражения ботнетом TrueBot преимущественно в США и Канаде.

Далее в бюллетене поясняется, что после загрузки вредоносного файла Truebot переименовывает себя и развертывает FlawedGrace на хост. Затем RAT-троян изменяет реестр и программы диспетчера очереди печати, что позволяет ему повышать привилегии и устанавливать постоянство. Эксперты также напомнили о связи Truebot с другими инструментами доставки вредоносных программ , а именно с Raspberry Robin и Cobalt Strike.

Майский всплеск активности TrueBot обнаружили ещё исследователи кибербезопасности VMware , которые указали, что основная функция TrueBot — собирать информацию с хоста и развертывать полезные нагрузки следующего этапа, такие как Cobalt Strike, троян FlawedGrace и ранее неизвестную утилиту для эксфильтрации данных Teleport. Далее выполняется боковое перемещение и сбор данных, а затем запускается бинарный файл программы-вымогателя Clop. Анализ утилиты Teleport показал, что ПО используется исключительно для сбора файлов из OneDrive и Загрузок, а также сообщений из Outlook.

Специалисты предложили шаги для снижения возросшей угрозы со стороны Truebot, включая мониторинг и контроль выполнения ПО и применение исправлений Netwrix Auditor.