ABD ve Kanada’daki Truebot Kötü Amaçlı Yazılım Hedefleme Kuruluşları güncellendi

Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar, Hizmet Olarak Kötü Amaçlı Yazılım

Silence.Downloader Adlı Truva Atı’nın Yeni Varyantı Mayıs’ta Görünüyor

Prajeet Nair (@prajeetspeaks) •
8 Temmuz 2023

Kuzey Amerika siber güvenlik ajansları, kurbanlardan bilgi toplayan ve sızdıran Truebot Truva Atı’nın yeni bir çeşidi hakkında uyarıda bulunuyor.

Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek

Perşembe günü yayınlanan bir danışma belgesinde, ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi, FBI, Çok Devletli Bilgi Paylaşımı ve Analiz Merkezi ve Kanada Siber Güvenlik Merkezi, siber suçluların yeni tanımlanan ve Silence.Downloader olarak izlenen varyantı kullandıkları konusunda uyardı. son olarak 31 Mayıs.

Silence.Downloader, Netwrix Auditor’daki bir uzaktan kod yürütme güvenlik açığı olan CVE-2022-31199 adlı bilinen bir kritik güvenlik açığına saldırır. CISA, tehdit aktörlerinin ilk erişimi elde etmek ve güvenliği ihlal edilmiş ağ içinde yanal olarak hareket etmek için bu kusurdan yararlandığını söyledi. CISA, tehdit aktörlerinin yeni değişken sunmak için kötü amaçlı yönlendirme köprüleri ve CVE-2022-31199 ile kimlik avı kampanyalarından yararlandığını söyledi.

“Önceki Truebot kötü amaçlı yazılım varyantları, öncelikle siber tehdit aktörleri tarafından kötü amaçlı kimlik avı e-posta ekleri aracılığıyla teslim edildi, ancak bu daha yeni sürümler, siber tehdit aktörlerinin CVE-2022-31199’dan yararlanarak ilk erişimi elde etmelerine olanak tanıyarak, kötü amaçlı yazılımın tehlikeye atılmış ortamda geniş ölçekte konuşlandırılmasını sağlıyor. ,” dedi CISA danışma belgesinde.

Netwrix denetim aracı, dünya çapında 13.000’den fazla kuruluş tarafından kurum içi ve bulut tabanlı BT sistem denetimi için kullanılmaktadır. BT görevlerini kolaylaştırmak, sorunları önlemek ve paydaşlara otomatik olarak rapor göndermek için BT ortamındaki olayları izler.

VMware’in Carbon Black ekibi geçen ay Truebot etkinliğinde bir artış bildirdi ve bir teslim yöntemi olarak Netwrix Denetçi güvenlik açığının kullanıldığını kaydetti.

Kötü amaçlı yazılım bir hedef makineye yüklendikten sonra, Truebot kendisini yeniden adlandırır ve FlawedGrace’i ana bilgisayara yükler. FlawedGrace, Truebot operasyonlarında kullanılan bir uzaktan erişim aracıdır.

Truebot dağıtıldıktan sonra, FlawedGrace kayıt defterini ve belgelerin bir yazdırma kuyruğuna yüklenme sırasını kontrol eden yazdırma biriktirici programlarını değiştirir. Araç ayrıca, hem ayrıcalığı yükseltmek hem de kalıcılık sağlamak için bu özellikleri manipüle eder.

FlawedGrace’in yürütme aşaması sırasında RAT, şifrelenmiş yükleri kayıt defterinde depolar, zamanlanmış görevler oluşturur ve yükleri msiexec’e enjekte eder.[.]exe ve svchost[.]FlawedGrace’in 92.118.36 ile komut ve kontrol bağlantısı kurmasını sağlayan komut süreçleri olan exe.[.]Ajanslar, örneğin 199’un yanı sıra ayrıcalık yükseltmesini gerçekleştirmek için dinamik bağlantı kitaplıklarını yüklediğini söyledi.

Nisan ayında, Rusça konuşan Clop hizmet olarak fidye yazılımı çetesi, birden çok kuruluşu hedef almak için Avustralyalı PaperCut firmasının baskı yönetimi yazılımındaki iki güvenlik açığından yararlandı. Etkilenen sistemlere Clop fidye yazılımını enjekte etmek için TrueBot’u devreye aldı (bkz: Fidye Yazılımı Bilgisayar Korsanları PaperCut Hatalarından Yararlanıyor).

Clop fidye yazılımı çetesi, bu yılın başlarında GoAnywhere dosya aktarım yazılımındaki bir güvenlik açığından yararlanan 50’den fazla saldırının sorumluluğunu üstlendi (bkz.: Clop GoAnywhere Saldırıları Şu Anda 130 Kuruluşu Vurdu).