Siber güvenlik düzenleyicileri, Pakistan, Meksika, Brezilya ve ABD’den sonra siber suçluların Kanada’daki kuruluşları hedeflemek için Truebot kötü amaçlı yazılım türevlerini kullandığı konusunda uyardı.
CISA, ABD, Federal Soruşturma Bürosu (FBI), Çok Devletli Bilgi Paylaşım ve Analiz Merkezi (MS-ISAC) ve Kanada Siber Güvenlik Merkezi (CCCS) ile birlikte en son gelişmeler hakkında ortak bir danışma belgesi yayınladı. .
Silence.Downloader olarak da bilinen Truebot, kötü şöhretli CL0P Ransomware Gang dahil olmak üzere kötü niyetli siber gruplar tarafından kurbanlarından hassas bilgiler toplamak için kullanılan bir botnet’tir.
Cyber Express’in daha önce bildirdiğine göre, Aralık ayında siber güvenlik araştırmacıları ABD ile birlikte Meksika, Brezilya ve Pakistan’da yaygın Truebot kötü amaçlı yazılım bulaşmaları tespit etti.
Bu durumda, TrueBot kötü amaçlı yazılım bulaşmasının birincil amacı, veri hırsızlığı ve Cl0p fidye yazılımının yürütülmesiydi.
ABD ve Kanada düzenleyicileri, Mayıs 2023’ün sonlarında bölgedeki kuruluşları hedeflemek için yeni Truebot kötü amaçlı yazılım varyantlarının kullanımında bir artış tespit etti.
Danışma belgesi, “Açık kaynaklı raporlamadan ve Truebot türevlerinin analitik bulgularından elde edilen onaya dayanarak, dört kuruluş siber tehdit aktörlerinin kötü amaçlı yönlendirme köprüleri içeren kimlik avı kampanyaları yoluyla kötü amaçlı yazılımdan yararlandığını değerlendiriyor” dedi.
Truebot kötü amaçlı yazılımını ve operasyonlarını anlama
Truebot kötü amaçlı yazılımı, kuruluşlar için önemli bir tehdit oluşturan bir tür kötü amaçlı yazılımdır. Bilgisayar sistemlerine yetkisiz erişim sağlayarak, siber suçluların hassas verileri çalmasına ve çeşitli kötü amaçlı faaliyetler gerçekleştirmesine olanak tanır.
Geleneksel olarak, siber tehdit aktörleri, kimlik avı kampanyalarında kötü amaçlı e-posta ekleri aracılığıyla Truebot kötü amaçlı yazılım varyantlarını dağıttı.
Şüphelenmeyen kullanıcılar bu bağlantılara tıkladığında veya ekleri açtığında, Truebot kötü amaçlı yazılımı indirilir ve yürütülür.
Hatta bazı durumlarda, siber suçlular kötü amaçlı yazılımları görünüşte yasal dosya biçimleri içinde gizleyerek tespit edilmesini daha da zorlaştırır.
Ancak daha yeni sürümler, Netwrix Denetçi uygulamasındaki bir uzaktan kod yürütme güvenlik açığından (CVE-2022-31199) yararlanarak saldırı vektörünü genişletti.
Bu yazılım, BT sistemlerini denetlemek için kullanılır. Siber suçlular, bu güvenlik açığından yararlanarak güvenliği ihlal edilmiş bir ağa ilk erişimi elde ederek yanal hareket etmelerine ve faaliyetlerini artırmalarına olanak tanır.
Danışma belgesi, “Açık kaynaklı raporlama ve analitik bulgular, siber tehdit aktörlerinin, yeni Truebot kötü amaçlı yazılım türevlerini sunmak için hem kötü amaçlı yönlendirme köprülerine sahip kimlik avı kampanyalarını hem de CVE-2022-31199 istismarını kullandığını gösteriyor” dedi.
Danışma belgesi, kuruluşları CVE-2022-31199 ile ilişkili riski azaltmak için Netwrix Denetçisine (sürüm 10.5) yama yapmaları konusunda uyardı.
Truebot kötü amaçlı yazılımının arkasındaki tehdit aktörleri için eski bir oyun olan Netwrix Auditor danışma belgesine dokunmak,
Aralık ayında Cisco Talos araştırmacıları, Meksika, Brezilya, Pakistan ve Amerika Birleşik Devletleri dahil olmak üzere çeşitli ülkeleri hedef alan TrueBot kötü amaçlı yazılım bulaşmalarında bir artış bildirdi.
Cisco Talos raporu, “Son zamanlarda, saldırganlar birincil dağıtım yöntemi olarak kötü amaçlı e-postaları kullanmaktan başka tekniklere geçtiler” dedi.
“Ağustos ayında, Netwrix denetçisindeki yakın tarihli bir uzaktan kod yürütme güvenlik açığından yararlanan az sayıda saldırı gördük.”
Truebot kötü amaçlı yazılımı: Giriş ve yayılma
Danışma belgesi, “Kötü amaçlı dosyanın başarılı bir şekilde indirilmesinin ardından Truebot kendisini yeniden adlandırır ve ardından FlawedGrace’i ana bilgisayara yükler” dedi.
“Truebot tarafından konuşlandırıldıktan sonra FlawedGrace, belgelerin bir yazdırma kuyruğuna yüklenme sırasını kontrol eden kayıt defterini ve yazdırma biriktirici programlarını değiştirebilir.”
FlawedGrace, hem ayrıcalığı yükseltmek hem de kalıcılık sağlamak için bu özellikleri kullanır. Zamanlanmış görevler oluşturabilir, komut süreçlerine yükler ekleyebilir ve saldırganın sunucusuna bir komut ve kontrol (C2) bağlantısı kurabilir.
Bu bağlantı, siber suçluların güvenliği ihlal edilmiş sistemi uzaktan kontrol etmesine ve daha fazla kötü amaçlı etkinlik yürütmesine olanak tanır.
Truebot ayrıca Cobalt Strike işaretlerini belleğe enjekte eder. Bu işaretler, saldırganların, ilk bulaşmadan sonra bile güvenliği ihlal edilmiş sistem üzerinde kontrol sahibi olmalarını sağlar.
Siber suçlular, bu işaretleri enjekte ederek tespit edilmekten kaçarken kötü amaçlı operasyonlarına devam edebilir.
Bilgi toplamak ve tespit edilmekten kaçınmak için Truebot çeşitli görevleri yerine getirir.
İşletim sistemi sürümünü, işlemci mimarisini ve güvenlik hata ayıklayıcı araçlarının varlığını kontrol eder.
Bu bilgiler, kötü amaçlı yazılımın operasyonlarını uyarlamasına ve güvenlik önlemleri tarafından tespit edilmekten kaçınmasına yardımcı olur. Truebot ayrıca sistemin dahili saati ile senkronize olarak görevlerin planlanmasını kolaylaştırır.
Truebot, veri toplama ve sızdırma söz konusu olduğunda, saldırganın sunucusuyla bağlantı kurarak sistem bilgilerini ve benzersiz bir tanımlayıcıyı (GUID) belirlenmiş bir URL’ye gönderir.
Bu bağlantı, siber suçluların daha fazla talimat göndermesine, ek kötü amaçlı yükler indirmesine, ağ içinde kendini kopyalamasına, operasyonları sırasında kullanılan dosyaları silmesine ve güvenliği ihlal edilmiş sistemden hassas verileri sızdırmasına olanak tanır.