Dalış Özeti:
- Federal makamlar bilgisayar korsanlarının TrueBot kötü amaçlı yazılımından yararlandığına dair uyarıFBI ve Siber Güvenlik ve Altyapı Güvenlik Dairesi de dahil olmak üzere yetkililer Perşembe günü, Silence Downloader olarak da bilinen ABD ve Kanada hedeflerine yönelik kimlik avı saldırılarında kullanıldığını söyledi.
- Mayıs sonundan bu yana, kötü niyetli aktörler, yeni TrueBot türevlerini sunmak ve hedeflenen varlıklardan veri çalmak için ilk erişim için Netwrix Denetçisinde CVE-2022-31199 olarak tanımlanan bilinen bir güvenlik açığından yararlanıyor.
- Yetkililer TrueBot’u Clop fidye yazılımı çetesi gibi grupların kuruluşlardan veri toplamak ve sızdırmak için kullandıkları bir botnet olarak tanımlıyor.
Dalış Bilgisi:
Araştırmacılar 1 Haziran’da VMware Carbon Black VMware Carbon Black araştırmacılarına göre, TrueBot komuta ve kontrol sunucularını kullanarak güvenliği ihlal edilmiş hedefler hakkında bilgi topluyor ve ardından güvenliği ihlal edilmiş sistemleri kullanarak ek saldırılar gerçekleştiriyor.
Araştırmacılar, Silence Group’un son zamanlarda Netwrix Auditor kullanarak TrueBot’u aktif olarak geliştirdiğini söylüyor. Silence Group, tarihsel olarak bankaları ve finans kurumlarını hedef almasıyla bilinir, ancak son eylemler eğitim sektörünü hedef almıştır.
Danışma belgesine göre, TrueBot daha önce kullanıcıları kötü amaçlı köprüleri tıklatarak kötü amaçlı yazılım dağıtmak için kandırıyordu. Bazı durumlarda e-posta ekleri, yazılım güncellemelerinin bildirimleri olarak gizlenir.
Yetkililer, kötü amaçlı dosyalar indirildikten sonra, kötü amaçlı yazılımın kendisini yeniden adlandırdığını ve FlawedGrace adlı bir uzaktan erişim aracını ana sisteme yüklediğini söyledi.
Netwrix CSO’su Gerrit Lansing’e göre Netwrix Auditor, hem bulut hem de şirket içi ortamlarda veri ve altyapı güvenlik açıklarını bulmak için kullanılan bir yazılımdır. 7.000’den fazla kuruluş yazılımı kullanıyor.
“Bu güvenlik açığı, bir saldırganın Netwrix Denetçi sisteminde isteğe bağlı kod yürütün dağıtım en iyi uygulamalarının aksine internete maruz kalan, ”dedi Lansing e-posta yoluyla.
Lansing’e göre şirket, Haziran 2022’de güvenlik açığı için bir düzeltme içeren 10.5.10936.0 sürümünü yayınladı. Müşterilere ayrıca yazılımı internete maruz bırakmamaları tavsiye edildi.
Lansing, internete maruz kalmayan müşterilerin düşük risk altında olduğunu ancak tüm müşterilerin artık 10.5.10977.0 sürümüne yükseltmeleri gerektiğini söyledi. İnternete maruz kalan müşterilerin bu erişimi derhal engellemesi gerekir.
Mandiant araştırmacılar, Truecore olarak adlandırdıkları kötü amaçlı yazılımın FIN11 adlı tehdit aktörü tarafından nasıl dağıtıldığı konusunda artan bir çeşitlilik gördüler. Grup, ABD, Kanada, İngiltere, Avustralya, Kolombiya ve Almanya’daki kurbanlarla tarihsel olarak Clop’un sitesinde veri sızdırdı.
Google Cloud’da Mandiant mali suç analizi baş analisti Jeremy Kennelly, artan sayıda yöntemin “FIN11’in dağıtım tehdidi kümeleriyle ortaklıklar kurduğunu veya yeni ekip üyelerini işe aldığını” gösterebileceğini e-posta yoluyla söyledi.
Kennelly, Mandiant’ın ayrıca kötü amaçlı yazılımın, sırasıyla GoAnywhere MFT ve SolarWinds Serv-U MFT’yi etkileyen CVE-2023-0669 ve CVE-2021-35211 dahil olmak üzere popüler yazılım markaları veya istismar edilen güvenlik açıkları gibi görünen web siteleri aracılığıyla yayıldığını gördüğünü söyledi.
Çok Devletli Bilgi Paylaşım ve Analiz Merkezi ve Kanada Siber Güvenlik Merkezi de danışma belgesine katıldı.