Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Угроза от ботнета TrueBot усиливается

10/07/23

hack11-Jul-10-2023-09-16-17-0612-AM

6 июля 2023 года власти США и Канады выпустили предупреждение о возросшей активности вредоносных программ Truebot, связанных с новыми тактиками, методами и процедурами (TTPs).

В совместном бюллетене Агентства по кибербезопасности и защите инфраструктуры (CISA), Федерального бюро расследований (ФБР), Центра интернет-безопасности (MS-ISAC) и Канадского центра кибербезопасности (CCCS) отмечается, что хакеры используют новые варианты вредоносного ПО Truebot для атак на организации в США и Канаде. Специалисты с 31 мая стали отмечать всплеск финансово мотивированной активности TrueBot, пишет Securitylab.

Известно, что Truebot используется известными киберпреступными группировками Clop и Silence для кражи информации жертв. Создание Truebot в 2017 году приписывается группировке Silence, которая специализировалась на масштабных атаках на финансовые учреждения.

Прежде злоумышленники распространяли данное ПО через вредоносные вложения в фишинговых электронных письмах, однако, по данным агентств, теперь они переключились на новые методы и начали использовать варианты, эксплуатирующие RCE-уязвимость ( CVE-2022-31199 CVSS: 9.8 ) в приложении Netwrix Auditor. Эксплуатация ошибки позволяет злоумышленникам получить первоначальный доступ и перемещаться по скомпрометированной сети.

Приложение Netwrix Auditor используется более 13 000 организациями в 100 странах мира для аудита локальных и облачных ИТ-систем, а также аудита безопасности и контроля соответствия требованиям. По состоянию на декабрь 2022 года было обнаружено более 500 случаев заражения ботнетом TrueBot преимущественно в США и Канаде.

Далее в бюллетене поясняется, что после загрузки вредоносного файла Truebot переименовывает себя и развертывае FlawedGrace на хост. Затем RAT-троян изменяет реестр и программы диспетчера очереди печати, что позволяет ему повышать привилегии и устанавливать постоянство. Эксперты также напомнили о связи Truebot с другими инструментами доставки вредоносных программ , а именно с Raspberry Robin и Cobalt Strike.

Майский всплеск активности TrueBot обнаружили ещё исследователи кибербезопасности VMware , которые указали, что основная функция TrueBot — собирать информацию с хоста и развертывать полезные нагрузки следующего этапа, такие как Cobalt Strike, троян FlawedGrace и ранее неизвестную утилиту для эксфильтрации данных Teleport. Далее выполняется боковое перемещение и сбор данных, а затем запускается бинарный файл программы-вымогателя Clop. Анализ утилиты Teleport показал, что ПО используется исключительно для сбора файлов из OneDrive и Загрузок, а также сообщений из Outlook.

Специалисты предложили шаги для снижения возросшей угрозы со стороны Truebot, включая мониторинг и контроль выполнения ПО и применение исправлений Netwrix Auditor.

Темы:УгрозыботнетКибератакиClop
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...