CISA, FBI, MS-ISAC ve CCCS, TrueBot kötü amaçlı yazılımının ABD ve Kanada’da artan etkinliği konusunda uyarıda bulundu.
Ortak bir danışma belgesinde, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI), Çok Devletli Bilgi Paylaşım ve Analiz Merkezi (MS-ISAC) ve Kanada Siber Güvenlik Merkezi (CCCS) ABD ve Kanada’daki kuruluşlara karşı kullanılan yeni tanımlanan TrueBot kötü amaçlı yazılım varyantları hakkında uyarıda bulundu.
Mayıs 2023 fidye yazılımı incelememizde bildirdiğimiz gibi, Cl0p gibi fidye yazılımı grupları bir ağa erişim elde eder ve ardından gizlice TrueBot kötü amaçlı yazılımını ve bir Cobalt Strike işaretini dağıtarak sızıp etrafta sürünerek yol boyunca verileri alır.
Truebot özünde bir Trojan.Downloader’dır. Sistem bilgilerini toplamanın yanı sıra, ek yükleri indirme ve yürütme yeteneğine sahiptir. Bu nedenle, bir sisteme arka kapı yerleştirmek ve ağın bazı temel keşiflerini yapmak isteyen IAB grupları için ideal bir kötü amaçlı yazılımdır. Bu amaçlar için, Truebot’un son sürümleri aşağıdakileri toplar: Bir ekran görüntüsü, bilgisayar adı, yerel ağ adı ve aktif dizin güven ilişkileri. Active Directory güven ilişkileri, kuruluşların kullanıcıları ve kaynakları etki alanları arasında paylaşmasına olanak tanır.
Önceki TrueBot kötü amaçlı yazılım çeşitleri, öncelikle siber suçlular tarafından kötü niyetli kimlik avı e-posta ekleri aracılığıyla teslim edildi. Daha yeni sürümler, siber tehdit aktörlerinin, Netwrix Denetçi uygulamasındaki bir uzaktan kod yürütme güvenlik açığı olan CVE-2022-31199’dan yararlanarak ilk erişimi elde etmelerine de olanak tanır. Bu, saldırganın kötü amaçlı yazılımı güvenliği ihlal edilmiş ortam içinde geniş ölçekte dağıtmasına olanak tanır. Siber suçlular, bu CVE’den yararlanarak ilk erişimin yanı sıra güvenliği ihlal edilmiş ağ içinde yanal olarak hareket etme becerisi elde edebilir.
Danışma belgesi, TrueBot’un aşağıdakilerle bağlantılı olarak nasıl gözlemlendiğini açıklar:
- Raspberry Robin: Diğer kötü amaçlı yazılım ailelerine bağlantılar ve USB sürücüsü aracılığıyla kurulum da dahil olmak üzere çeşitli bulaşma yöntemleri içeren, kurtlanabilir bir kötü amaçlı yazılım.
- FlawedGrace: gelen komutları alabilen bir uzaktan erişim aracı (RAT) [T1059] TrueBot kötü amaçlı yazılım yürütüldükten dakikalar sonra dağıtılan bir C2 sunucusundan.
- Cobalt Strike: Siber suçluların kalıcılık ve veri sızdırma amaçları için kullandıkları bir tehdit öykünme araçları koleksiyonu.
- Teleport: özel bir veri hırsızlığı aracı.
İlgili taraflar, ayrı bir kötü amaçlı yazılım analizi raporunda, yakın zamanda keşfedilen bir TrueBot yürütülebilir dosyasının kapsamlı bir analizini bulabilir.
Malwarebytes indirme URL’lerini engeller ve Truebot’u Malware.AI olarak algılar. {id.nr.} Cl0p fidye yazılımı Malware.Ransom.Agent.Generic olarak algılandı. Ancak açıkça önleme, iyileştirmeden daha iyidir. Malwarebytes web koruma modülü, Kötü Amaçlı Yazılım Analizi Raporunda belirtilen C2 sunucularını engeller.
Fidye yazılımından nasıl kaçınılır?
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; ve RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin.
- İzinsiz girişleri önleyin. Tehditleri, uç noktalarınıza sızmadan veya bulaşmadan erken durdurun. Fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları engelleyebilen uç nokta güvenlik yazılımını kullanın.
- İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden fazla farklı algılama tekniği ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımı geri dönüşü kullanan Malwarebytes EDR gibi Uç Nokta Tespiti ve Yanıtı yazılımını dağıtın.
- Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğrama. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların tüm izlerini, kötü amaçlı yazılımlarını, araçlarını ve giriş yöntemlerini kaldırmalısınız.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme edinin.
ŞİMDİ DENE