Los investigadores de seguridad cibernética han informado de un aumento en TrueBot infecciones, principalmente dirigidas a México, Brasil, Pakistán y los EE. UU.
Cisco Talos dijo que los atacantes detrás de la operación han pasado del uso de correos electrónicos maliciosos a métodos de entrega alternativos, como la explotación de una falla de ejecución remota de código (RCE) ahora parcheada en el auditor de Netwrix, así como el gusano Raspberry Robin.
«La actividad posterior al compromiso incluyó el robo de datos y la ejecución del ransomware Clop», investigador de seguridad Tiago Pereira. dijo en un informe del jueves.
TrueBot es un descargador de malware de Windows que se atribuye a un actor de amenazas rastreado por Group-IB como Silence, un equipo de habla rusa que se cree que compartir asociaciones con Evil Corp (también conocido como DEV-0243) y TA505.
El módulo de la primera etapa funciona como un punto de entrada para las actividades posteriores a la explotación, incluido el robo de información utilizando una utilidad de exfiltración de datos personalizada hasta ahora desconocida denominada Teleport, dijo la firma de ciberseguridad.
Microsoft destacó recientemente el uso de Raspberry Robin, un gusano que se propaga principalmente a través de unidades USB infectadas, como un vector de entrega para TrueBot, que dijo que es parte de un «ecosistema de malware complejo e interconectado».
En lo que es otra señal de colaboración enredada con otras familias de malware, también se ha observado que Raspberry Robin se implementa Actualizaciones falsas (también conocido como SocGholish) en sistemas comprometidos, lo que en última instancia conduce a un comportamiento similar al ransomware vinculado a Evil Corp.
Microsoft está rastreando a los operadores del malware basado en USB como DEV-0856 y los ataques de ransomware Clop que ocurren a través de Raspberry Robin y TrueBot bajo el grupo de amenazas emergentes DEV-0950.
«DEV-0950 tradicionalmente usa phishing para adquirir a la mayoría de sus víctimas, por lo que este notable cambio al uso de Raspberry Robin les permite entregar cargas útiles a infecciones existentes y mover sus campañas más rápidamente a etapas de ransomware», señaló el fabricante de Windows en octubre de 2022.
Los últimos hallazgos de Cisco Talos muestran que Silence APT llevó a cabo un pequeño conjunto de ataques entre mediados de agosto y septiembre de 2022 al abusar de una vulnerabilidad crítica de RCE en el auditor de Netwrix (CVE-2022-31199puntaje CVSS: 9.8) para descargar y ejecutar TrueBot.
El hecho de que el error se convirtió en un arma solo un mes después de su divulgación pública por parte del obispo Fox a mediados de julio de 2022 sugiere que «los atacantes no solo buscan nuevos vectores de infección, sino que también pueden probarlos rápidamente e incorporarlos en su flujo de trabajo», dijo Pereira.
Sin embargo, las infecciones de TrueBot en octubre implicaron el uso de un vector de ataque diferente, es decir, Raspberry Robin, lo que subraya la evaluación de Microsoft sobre el papel central del gusano USB como plataforma de distribución de malware.
La función principal de TrueBot es recopilar información del host e implementar cargas útiles de la siguiente etapa, como Cobalt Strike, FlawedGrace y Teleport. A esto le sigue la ejecución del binario de ransomware después de recopilar información relevante.
La herramienta de exfiltración de datos Teleport también se destaca por su capacidad para limitar las velocidades de carga y el tamaño de los archivos, lo que hace que las transmisiones no sean detectadas por el software de monitoreo. Además de eso, puede borrar su propia presencia de la máquina.
Una mirada más cercana a los comandos emitidos a través de Teleport revela que el programa se usa exclusivamente para recopilar archivos de las carpetas OneDrive y Descargas, así como los mensajes de correo electrónico de Outlook de la víctima.
«La entrega de Raspberry Robin condujo a la creación de una botnet de más de 1000 sistemas que se distribuye en todo el mundo, pero con un enfoque particular en México, Brasil y Pakistán», dijo Pereira.
Los atacantes, sin embargo, parecen haber cambiado a un mecanismo de distribución TrueBot desconocido a partir de noviembre, con el vector logrando cooptar más de 500 servidores Windows con acceso a Internet ubicados en los EE. UU., Canadá y Brasil en una red de bots.