Siber güvenlik kurumları, TrueBot kötü amaçlı yazılımının yeni varyantlarının ortaya çıkması konusunda uyarıda bulundu. Bu gelişmiş tehdit, artık sızan sistemlerden gizli verileri çıkarmak amacıyla ABD ve Kanada’daki şirketleri hedefliyor.
Bu karmaşık saldırılar, yaygın olarak kullanılan Netwrix Auditor sunucusundaki ve ilişkili aracılarındaki kritik bir güvenlik açığından (CVE-2022-31199) yararlanır.
Bu güvenlik açığı, yetkisiz saldırganların SYSTEM kullanıcısının ayrıcalıklarıyla kötü amaçlı kod yürütmesine olanak tanıyarak, güvenliği ihlal edilmiş sistemlere sınırsız erişim sağlar.
Siber suç grupları Silence ve FIN11 ile bağlantılı TrueBot kötü amaçlı yazılımı, verileri sızdırmak ve fidye yazılımını yaymak için konuşlandırıldı ve sızan çok sayıda ağın güvenliğini tehlikeye attı.
Siber suçlular, belirtilen güvenlik açığından yararlanarak ilk dayanaklarını elde eder ve ardından TrueBot’u yüklemeye devam eder. Ağları ihlal ettikten sonra, ayrıcalıklarını yükseltmek, güvenliği ihlal edilmiş sistemlerde kalıcılık sağlamak ve ek operasyonlar yürütmek için FlawedGrace Uzaktan Erişim Truva Atı’nı (RAT) kurarlar.
“FlawedGrace’in yürütme aşaması sırasında, RAT, şifrelenmiş yükleri kayıt defterinde depolar. Araç, zamanlanmış görevler oluşturabilir ve yükleri msiexec’e enjekte edebilir.[.]exe ve svchost[.]FlawedGrace’in 92.118.36’ya bir komut ve kontrol (C2) bağlantısı kurmasını sağlayan komut süreçleri olan exe.[.]199, örneğin ayrıcalık yükseltmesini gerçekleştirmek için dinamik bağlantı kitaplıklarını (DLL’ler) yüklemenin yanı sıra,” diyor danışma belgesi.
Siber suçlular, ilk izinsiz girişten sonraki birkaç saat içinde Cobalt Strike işaretlerini başlatır. Bu işaretçiler, veri çalma ve fidye yazılımı veya farklı kötü amaçlı yazılım yükleri yükleme dahil olmak üzere, kullanım sonrası görevleri kolaylaştırır.
TrueBot kötü amaçlı yazılımının önceki sürümleri genellikle kötü amaçlı e-posta ekleri yoluyla yayılırken, güncellenen sürümler ilk erişimi elde etmek için CVE-2022-31199 güvenlik açığından yararlanır.
Bu stratejik değişim, siber tehdit aktörlerinin sızdırılmış ortamlarda daha geniş ölçekte saldırılar gerçekleştirmesine olanak tanır. Daha da önemlisi, Netwrix Auditor yazılımı Airbus, Allianz, UK NHS ve Virgin gibi önemli firmalar da dahil olmak üzere dünya çapında 13.000’den fazla kuruluş tarafından kullanılmaktadır.
Danışma belgesi, kurbanlar veya TrueBot saldırılarından etkilenen kuruluşların sayısı hakkında belirli bilgiler sağlamaz.
Rapor ayrıca, Raspberry Robin kötü amaçlı yazılımının bu TrueBot saldırılarına katılımının yanı sıra IcedID ve Bumblebee gibi diğer taviz sonrası kötü amaçlı yazılımların da altını çiziyor. Raspberry Robin’i bir dağıtım platformu olarak kullanan saldırganlar, daha fazla potansiyel kurbana ulaşabilir ve kötü niyetli faaliyetlerinin etkisini artırabilir.
🔐 Ayrıcalıklı Erişim Yönetimi: Önemli Zorlukların Üstesinden Gelmeyi Öğrenin
Ayrıcalıklı Hesap Yönetimi (PAM) zorluklarını aşmak ve ayrıcalıklı erişim güvenliği stratejinizi yükseltmek için farklı yaklaşımları keşfedin.
Yerinizi Ayırın
Silence ve TA505 gruplarının parasal çıkar için aktif olarak ağlara sızdığı göz önüne alındığında, kuruluşların önerilen güvenlik önlemlerini uygulaması çok önemlidir.
TrueBot kötü amaçlı yazılımlarına ve benzer tehditlere karşı kendilerini korumak için kuruluşlar aşağıdaki önerileri dikkate almalıdır:
- Güncellemeleri yükle: Netwrix Auditor kullanan kuruluşlar, CVE-2022-31199 güvenlik açığını azaltmak için gerekli güncellemeleri yüklemeli ve yazılımlarını sürüm 10.5 veya üzerine güncellemelidir.
- Güvenlik protokollerini geliştirin: Tüm çalışanlar ve hizmetler için çok faktörlü kimlik doğrulamayı (MFA) dağıtın.
- Sızma belirtilerine (IOC’ler) karşı dikkatli olun: Güvenlik ekipleri, TrueBot kontaminasyonu belirtileri için ağlarını aktif olarak incelemelidir. Ortak uyarı, kötü amaçlı yazılımın etkisinin keşfedilmesine ve azaltılmasına yardımcı olacak yönergeler sağlar.
- Herhangi bir olayı bildirin: Kuruluşlar, IOC’leri tespit ederse veya bir TrueBot sızıntısından şüphelenirse, uyarıda belirtilen olay müdahale eylemlerine uygun olarak hızla hareket etmeli ve olayı CISA’ya veya FBI’a bildirmelidir.