Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Связанная с Evil Corp группировка нашла новый способ заражения жертв

12/12/22

hack11-Dec-12-2022-11-20-16-0240-AM

Исследователи кибербезопасности Cisco Talos сообщают об увеличении числа заражений вредоносным ПО TrueBot, в основном в Мексике, Бразилии, Пакистане и США. Это передает Securitylab.

В ходе атак киберпреступники эксплуатируют исправленную RCE - уязвимость в Netwrix Auditor, а также используют Raspberry Robin для доставки TrueBot. Компрометация приводит к краже данных и запуску программы-вымогателя Clop.

TrueBot — это загрузчик вредоносного ПО для Windows, приписываемый группировке Silence (по данным Group-IB), которая, предположительно, имеет общие связи с Evil Corp. Предположения о связи групп основаны на том, что Evil Corp использует червя Raspberry Robin для развертывания дропперов в скомпрометированных сетях.

content-img(924)

По данным Cisco Talos, APT-группа Silence осуществила серию атак в период с середины августа по сентябрь 2022 года, эксплуатируя критическую RCE-уязвимость в Netwrix Auditor ( CVE-2022-31199, оценка CVSS: 9,8) для загрузки и запуска TrueBot.

Основная функция TrueBot — собирать информацию с хоста и развертывать полезные нагрузки следующего этапа, такие как Cobalt Strike, троян FlawedGrace и ранее неизвестную утилиту для эксфильтрации данных Teleport. Далее выполняется боковое перемещение и сбор данных, а затем запускается бинарный файл программы-вымогателя Clop.

Инструмент для эксфильтрации данных Teleport также примечателен своей способностью ограничивать скорость загрузки и размер файлов, в результате чего передача данных не обнаруживается программами для мониторинга. Кроме того, Teleport может стереть свое присутствие с машины.

Анализ Teleport показал, что ПО используется исключительно для сбора файлов из OneDrive и Загрузок, а также сообщений из Outlook.

По словам Cisco Talos, доставка Raspberry Robin привела к созданию ботнета из более 1000 систем, которые распространяются по всему миру, в частности, в Мексике, Бразилии и Пакистане. Более того, кампания с использованием TrueBot объединила в ботнет более 500 серверов Windows, расположенных в США, Канаде и Бразилии.

Темы:WindowsУгрозыCisco Talosдропперы
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...