CISA ve FBI, bugün ABD ve Kanada’daki kuruluşları hedef alan saldırılarda Netwrix Auditor yazılımındaki kritik bir uzaktan kod yürütme (RCE) güvenlik açığı kullanılarak ele geçirilen ağlarda dağıtılan yeni Truebot kötü amaçlı yazılım türevleri konusunda uyarıda bulundu.
Hata (CVE-2022-31199 olarak izlenir), Netwrix Denetçi sunucusunu ve izlenen ağ sistemlerinde kurulu aracıları etkiler ve yetkisiz saldırganların SİSTEM kullanıcısının ayrıcalıklarıyla kötü amaçlı kod yürütmesine olanak tanır.
TrueBot, Rusça konuşan Silence siber suç grubuna bağlı bir kötü amaçlı yazılım indiricisidir ve Aralık 2022’den beri TA505 bilgisayar korsanları (FIN11 grubuyla ilişkili) tarafından güvenliği ihlal edilmiş ağlarda Clop fidye yazılımı dağıtmak için kullanılır.
Saldırganlar, ihlal edilen ağlara TrueBot’u yükledikten sonra, yine TA505 grubuna bağlı olan FlawedGrace Uzaktan Erişim Truva Atı’nı (RAT) yükler ve bu da ayrıcalıkları artırmalarına ve saldırıya uğrayan sistemlerde kalıcılık oluşturmalarına olanak tanır.
İlk ihlalden saatler sonra, daha sonra veri hırsızlığı ve fidye yazılımı gibi daha fazla kötü amaçlı yazılım yükü bırakma dahil olmak üzere çeşitli istismar sonrası görevler için kullanılabilecek olan Cobalt Strike işaretlerini de konuşlandıracaklar.
İki federal kurum ortak bir raporda, “Önceki Truebot kötü amaçlı yazılım çeşitleri, öncelikle siber tehdit aktörleri tarafından kötü amaçlı kimlik avı e-posta ekleri aracılığıyla teslim edildi; ancak, daha yeni sürümler, siber tehdit aktörlerinin CVE-2022-31199’dan yararlanarak ilk erişim elde etmelerine de izin veriyor.” MS-ISAC ve Kanada Siber Güvenlik Merkezi.
“Mayıs 2023 gibi yakın bir tarihte, siber tehdit aktörleri bu yaygın güvenlik açığını ve açığa çıkma durumunu yeni Truebot kötü amaçlı yazılım türevlerini teslim etmek ve ABD ve Kanada’daki kuruluşlara karşı bilgi toplayıp sızdırmak için kullandı.”
Şimdiye kadar gözlemlenen Truebot operasyonlarının doğasına dayanarak, Truebot’un arkasındaki tehdit aktörlerinin birincil hedefi, finansal kazanç için güvenliği ihlal edilmiş sistemlerden hassas bilgileri çalmaktır.
Güvenlik ekiplerine, bugünün ortak danışma belgesinde paylaşılan yönergeleri kullanarak bir Truebot bulaşmasına işaret eden kötü niyetli etkinlik belirtilerini aramaları önerilir.
Kuruluşlarının ağında herhangi bir uzlaşma belirtisi (IOC) tespit etmeleri halinde, danışma belgesinde belirtilen hafifletme ve olay müdahale önlemlerini derhal uygulamalı ve olayı CISA veya FBI’a bildirmelidirler.
Kuruluşunuz Netwrix’in BT sistem denetim yazılımını kullanıyorsa, CVE-2022-31199 güvenlik açığını gidermek için yamalar uygulamalı ve Netwrix Auditor’ı 10.5 sürümüne güncellemelisiniz.
Kritik sistemlere erişimi engellemek için tüm personel ve hizmetler için kimlik avına dayanıklı çok faktörlü kimlik doğrulama (MFA) kullanmak, bu tür saldırıları izlerinde durdurmanın iyi bir yoludur.
Netwrix, ürünlerinin Airbus, Allianz, Birleşik Krallık NHS ve Virgin gibi yüksek profilli kuruluşlar da dahil olmak üzere dünya çapında 13.000’den fazla kuruluş tarafından kullanıldığını söylüyor.