Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), çeşitli ABD kuruluşları ve Kanada Siber Güvenlik Merkezi’nden (CCCS) gelen bir danışma belgesi, tehdit aktörleri tarafından ABD ve Kanada’daki çeşitli kuruluşlara karşı giderek daha fazla kullanılan Truebot kötü amaçlı yazılım türevleri konusunda uyarıda bulunuyor.
Alternatif olarak Silence.Downloader olarak da bilinen Truebot, Cl0p fidye yazılımı siber çetesi gibi kötü niyetli siber gruplar tarafından hedefledikleri kurbanlardan bilgi toplamak için kullanılan bir botnet’tir. Truebot’un eski varyantları, esas olarak tehdit aktörleri tarafından kötü amaçlı ekler biçimindeki kimlik avı e-posta saldırılarıyla dağıtılıyordu. Kötü amaçlı yazılımın daha yeni sürümleri, bu tehdit aktörlerinin Netwrix Auditor’daki (diğer adıyla CVE-2022-31199) bir uzaktan kod yürütme (RCE) güvenlik açığından yararlanarak ilk erişim elde etmelerine olanak tanır.
Siber tehdit aktörleri, Truebot türevlerini sunmak için kötü amaçlı köprüler içeren kimlik avı kampanyaları da kullanıyor. Ajanslar, bu tür kötü amaçlı etkinlik arayanları Netwrix Auditor’ın 10.5 sürümüne satıcı yamaları uygulamaya ve ortak danışma belgesinde belirtilen kılavuzu kullanmaya teşvik ediyor.
Örgütler, “Çevrelerinde uzlaşma göstergelerini (IOC’ler) tanımlayan herhangi bir kuruluş, bu CSA’da ayrıntılı olarak açıklanan olay müdahalelerini ve hafifletme önlemlerini acilen uygulamalı ve girişi CISA veya FBI’a bildirmelidir.”