Araştırmacılar, bir hedefin ağına sızmak ve onu keşfetmek için Truebot indirme Truva Atı’nın yeni sürümlerini kullanan iki yeni Truebot bot ağı belirlediler.
Silence Group’un, genellikle TA505 olarak anılan Clop fidye yazılımının arkasındaki grupla güçlü bir ilişkisi var gibi görünüyor. Bu da FIN11 grubuyla büyük bir örtüşmeye sahip.
Truebot
Araştırmacılar iki ayrı Truebot bot ağı belirlediler. Bunlardan biri ABD’ye odaklanırken, diğeri ağırlıklı olarak Meksika, Pakistan ve Brezilya’ya odaklanıyor.
Raspberry Robin solucanının son zamanlardaki faaliyetlerini yazarken ikincisine değinmiştik. Bu solucanın bir Netwrix güvenlik açığından yararlanan bir saldırı vektörüyle birlikte kullanılması, dünya çapında dağıtılan 1.000’den fazla sistemden oluşan bir botnet oluşturulması için zemin hazırlamış gibi görünüyor.
Diğer botnet, neredeyse yalnızca doğrudan internete bağlı Windows sunucularından oluşur ve SMB, RDP ve WinRM gibi birkaç Windows hizmetini açığa çıkarır. Bu botnet’i kurmak için kullanılan saldırı vektörü henüz tanımlanmadı, ancak araştırmacılar bunun diğer botnet, Raspberry Robin ve Netwrix güvenlik açığı (CVE-2022-31199) için kullanılanlardan farklı olduğundan eminler.
Yeni sürüm
Truebot özünde bir Trojan.Downloader’dır. Bu nedenle, bir sisteme arka kapı yerleştirmek ve ağın bazı temel keşiflerini yapmak isteyen IAB grupları için ideal bir kötü amaçlı yazılımdır. Bu amaçlar için, Truebot’un bu yeni sürümü şu bilgileri toplar: ekran görüntüsü, bilgisayar adı, yerel ağ adı ve aktif dizin güven ilişkileri. Active Directory güven ilişkileri, kuruluşların kullanıcıları ve kaynakları etki alanları arasında paylaşmasına olanak tanır.
Ayrıca yeni olan bir şey de, bu sürümün artık belleğe ek modüller ve kabuk kodları yükleme ve yürütme yeteneğine sahip olması, yükleri tespit edilme olasılığı daha düşük olan dosyasız kötü amaçlı yazılım haline getirmesidir.
sızma
Araştırmacılar, arka kapı olarak hareket etmek üzere tasarlanmış olağan şüpheliler olan Cobalt Strike ve Grace’in yanı sıra yeni bir veri sızdırma aracı da buldular. Grace’i bir yük olarak bulmak, Grace’in neredeyse yalnızca TA505 tarafından kullanılmasından dolayı Silence Group ile TA505 arasındaki yakın bağları doğruluyor gibi görünüyor.
Teleport olarak adlandırılan hırsızlık aracı, saldırganlar tarafından ağdan bilgi çalmak için yoğun bir şekilde kullanıldı. Veri hırsızlığı sürecini daha kolay ve daha gizli hale getiren çeşitli özellikler içeren, C++’ta oluşturulmuş özel bir veri hırsızlığı aracı gibi görünüyor. Uzaktan kopyalama araçlarında yaygın olarak bulunmayan ancak verileri gizlice dışarı sızdıran bir saldırgan için onu çok yararlı kılan bazı özelliklere sahiptir.
- Yükleme hızını sınırlar, bu da aktarımın büyük veri hırsızlığını izleyen araçlar tarafından fark edilmemesine neden olabilir ve ağın yavaşlamasını önler.
- İletişim, hangi bilgilerin iletildiğini gizlemek için şifrelenir.
- İlginç olmayabilecek dosyaların uzun kopyalarından kaçınarak çalınan dosyaların sayısını en üst düzeye çıkarabilen dosya boyutunu sınırlama.
- Kullanımdan sonra kendini silme yeteneği, mümkün olduğu kadar bilinmeyen kalması için idealdir.
tıkırtı
Ransom.Clop ilk olarak 2019 yılının Şubat ayında görüldü. Şifreleme sistemlerinin yanı sıra Clop fidye yazılımı, kurban fidyeyi ödemeyi reddederse bir sızıntı sitesinde yayınlanacak verileri de sızdırır. Grup, Şubat 2021’de özellikle hassas verileri bulmak için yöneticilerin sistemlerini hedef alarak manşetlere taşındı.
Azaltma
Silence tarafından kullanılan araçlar çok yönlüdür ancak kendinizi ve kuruluşunuzu korumak için atabileceğiniz birkaç mantıklı adım vardır:
- Bilinmeyen veya güvenilir olmayan USB sürücülerini sistemlerinize takmayın.
- Windows’ta, USB sürücülerin otomatik çalıştırılması varsayılan olarak devre dışıdır. Bununla birlikte, birçok kuruluş, eski Grup İlkesi değişiklikleri aracılığıyla bunu geniş çapta etkinleştirmiştir. Etkinleştirdiyseniz, bu yeniden düşünmeye değer bir politikadır.
- Yamaları mümkün olan en kısa sürede kurun, özellikle internete bakan cihazlar için.
- Sistemlerinizi aktif olarak izleyen ve tarayan bir virüsten koruma/kötü amaçlı yazılımdan koruma çözümü çalıştırın.
Malwarebytes indirme URL’lerini engeller ve Truebot’u Malware.AI olarak algılar. {id.nr.}. Clop fidye yazılımı Malware.Ransom.Agent.Generic olarak algılandı.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.