09 Aralık 2022Ravie Lakshmanan

Siber güvenlik araştırmacıları, TrueBot enfeksiyonlar, öncelikle Meksika, Brezilya, Pakistan ve ABD’yi hedef alıyor

Cisco Talos, operasyonun arkasındaki saldırganların kötü amaçlı e-postaları kullanmaktan, Netwrix denetçisindeki artık yama uygulanmış bir uzaktan kod yürütme (RCE) kusurunun yanı sıra Raspberry Robin solucanı gibi alternatif dağıtım yöntemlerine geçtiğini söyledi.

Güvenlik araştırmacısı Tiago Pereira, “Ödün verme sonrası etkinlik, veri hırsızlığı ve Clop fidye yazılımının yürütülmesini içeriyordu.” söz konusu Perşembe raporunda.

TrueBot, Group-IB tarafından Rusça konuşan bir ekip tarafından Silence olarak izlenen bir tehdit aktörüne atfedilen bir Windows kötü amaçlı yazılım indiricisidir. paylaşım dernekleri Evil Corp (aka DEV-0243) ile ve TA505.

Siber güvenlik firması, birinci aşama modülünün, Teleport adlı şimdiye kadar bilinmeyen bir özel veri sızdırma aracı kullanan bilgi hırsızlığı da dahil olmak üzere, sonraki sömürü sonrası faaliyetler için bir giriş noktası işlevi gördüğünü söyledi.

Esas olarak virüslü USB sürücüler aracılığıyla yayılan bir solucan olan Raspberry Robin’in TrueBot için bir dağıtım vektörü olarak kullanılması, yakın zamanda Microsoft tarafından vurgulandı ve bunun “karmaşık ve birbirine bağlı bir kötü amaçlı yazılım ekosisteminin” parçası olduğunu söyledi.

Truebot Kötü Amaçlı Yazılım

Diğer kötü amaçlı yazılım aileleriyle iç içe geçmiş işbirliğinin bir başka işareti olarak, Raspberry Robin’in de dağıtıldığı gözlemlendi. Sahte Güncellemeler (namı diğer SocGholish) güvenliği ihlal edilmiş sistemlerde, sonuçta Evil Corp. ile bağlantılı fidye yazılımı benzeri davranışlara yol açıyor.

Microsoft, DEV-0856 olarak USB tabanlı kötü amaçlı yazılımın operatörlerini ve gelişmekte olan DEV-0950 tehdit kümesi altında Raspberry Robin ve TrueBot aracılığıyla gerçekleşen Clop fidye yazılımı saldırılarını izliyor.

Windows üreticisi, Ekim 2022’de “DEV-0950, kurbanlarının çoğunu ele geçirmek için geleneksel olarak kimlik avını kullanır, bu nedenle Raspberry Robin’i kullanmaya yönelik bu kayda değer geçiş, onların mevcut enfeksiyonlara yük sağlamalarına ve kampanyalarını daha hızlı bir şekilde fidye yazılımı aşamalarına taşımalarına olanak tanır.”

Truebot Kötü Amaçlı Yazılım

Cisco Talos’tan elde edilen en son bulgular, Silence APT’nin, Netwrix denetçisindeki kritik bir RCE güvenlik açığını kötüye kullanarak Ağustos ortası ile Eylül 2022 arasında küçük bir dizi saldırı gerçekleştirdiğini gösteriyor (CVE-2022-31199CVSS puanı: 9.8) TrueBot’u indirmek ve çalıştırmak için.

Böceğin 2022 Temmuz ayı ortalarında Bishop Fox tarafından kamuya ifşa edilmesinden yalnızca bir ay sonra silah haline getirilmiş olması, “saldırganların yalnızca yeni enfeksiyon vektörleri aramakla kalmayıp aynı zamanda bunları hızlı bir şekilde test edip kendi sistemlerine dahil edebildiklerini” gösteriyor. iş akışı,” dedi Pereira.

Ancak Ekim ayındaki TrueBot enfeksiyonları, Microsoft’un USB solucanının bir kötü amaçlı yazılım dağıtım platformu olarak merkezi rolü hakkındaki değerlendirmesinin altını çizen, farklı bir saldırı vektörünün – yani Raspberry Robin – kullanılmasını gerektirdi.

TrueBot’un birincil işlevi, ana bilgisayardan bilgi toplamak ve Cobalt Strike, FlawedGrace ve Teleport gibi sonraki aşama yüklerini dağıtmaktır. Bunu, ilgili bilgiler toplandıktan sonra fidye yazılımı ikili dosyasının yürütülmesi izler.

Teleport veri hırsızlığı aracı, yükleme hızlarını ve dosya boyutlarını sınırlandırma ve böylece iletimlerin izleme yazılımı tarafından tespit edilmemesine neden olma özelliğiyle de dikkate değerdir. Üstelik kendi varlığını makineden silebilir.

Teleport aracılığıyla verilen komutlara daha yakından bakıldığında, programın yalnızca OneDrive ve İndirilenler klasörlerinin yanı sıra kurbanın Outlook e-posta mesajlarından dosya toplamak için kullanıldığı ortaya çıkıyor.

Pereira, “Raspberry Robin teslimatı, dünya çapında dağıtılan, ancak özellikle Meksika, Brezilya ve Pakistan’a odaklanan 1000’den fazla sistemden oluşan bir botnet oluşturulmasına yol açtı” dedi.

Ancak saldırganlar, vektörün ABD, Kanada ve Brezilya’da bulunan 500’den fazla internete bakan Windows sunucusunu bir botnet’e dahil etmeyi başarmasıyla, Kasım ayından itibaren bilinmeyen bir TrueBot dağıtım mekanizmasına geçmiş gibi görünüyor.



siber-2