Siber güvenlik araştırmacıları, Mayıs 2023’te TrueBot etkinliğinde bir artış gözlemlendiğini açıkladı.
VMware’den Fae Carlisle, “TrueBot, güvenliği ihlal edilmiş sistemler hakkında bilgi toplamak için komut ve kontrol sunucularını kullanan ve bu güvenliği ihlal edilmiş sistemi sonraki saldırılar için bir başlangıç noktası olarak kullanan bir indirici truva atı botnet’idir” dedi.
En az 2017’den beri aktif olan TrueBot, Evil Corp olarak bilinen kötü şöhretli Rus siber suç aktörüyle örtüştüğüne inanılan Silence olarak bilinen bir grupla bağlantılı.
Son TrueBot enfeksiyonları, dağıtım vektörleri olarak Raspberry Robin’in yanı sıra Netwrix denetçisinde (CVE-2022-31199, CVSS puanı: 9.8) kritik bir kusurdan yararlandı.
Öte yandan VMware tarafından belgelenen saldırı zinciri, Google Chrome’dan “update.exe” adlı yürütülebilir dosyanın teker teker indirilmesiyle başlıyor ve bu da kullanıcıların bir yazılım güncellemesi bahanesiyle kötü amaçlı yazılımı indirmeye yönlendirildiğini gösteriyor. .
update.exe çalıştırıldıktan sonra, daha sonra Windows Komut İstemi kullanılarak başlatılan ikinci aşama yürütülebilir dosyayı (“3ujwy2rz7v.exe”) almak için Rusya’da bulunan bilinen bir TrueBot IP adresiyle bağlantılar kurar.
Yürütülebilir dosya, kendi adına, bir komut ve kontrol (C2) etki alanına bağlanır ve ana bilgisayardan hassas bilgileri sızdırır. Ayrıca süreç ve sistem numaralandırma yeteneğine de sahiptir.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Oturuma Katılın
Carlisle, “TrueBot, herhangi bir ağ için özellikle kötü bir enfeksiyon olabilir” dedi. “Bir kuruluşa bu kötü amaçlı yazılım bulaştığında, fidye yazılımının bir ağ boyunca yayılmasına benzer şekilde hızla daha büyük bir enfeksiyona dönüşebilir.”
Bulgular, SonicWall’ın Ajan Tesla, Azorult ve Remcos gibi çok çeşitli kötü amaçlı yazılımları dağıtmak için kullanılan GuLoader (aka CloudEyE) olarak bilinen başka bir indirici kötü amaçlı yazılımın yeni bir varyantını ayrıntılı olarak açıklamasıyla geldi.
SonicWall, “GuLoader’ın en son varyantında, tam analiz sürecini ve kontrollü ortam altında yürütülmesini engelleyen istisnalar oluşturmak için yeni yollar sunuyor” dedi.