Les agences de cybersécurité ont mis en garde contre l’émergence de nouvelles variantes du malware TrueBot. Cette menace accrue cible désormais des entreprises aux États-Unis et au Canada dans le but d’extraire des données confidentielles de systèmes infiltrés.
Ces attaques sophistiquées exploitent une vulnérabilité critique (CVE-2022-31199) dans le serveur Netwrix Auditor largement utilisé et ses agents associés.
Cette vulnérabilité permet à des attaquants non autorisés d’exécuter du code malveillant avec les privilèges de l’utilisateur SYSTEM, leur accordant un accès illimité aux systèmes compromis.
Le malware TrueBot, lié aux collectifs cybercriminels Silence et FIN11, est déployé pour siphonner des données et diffuser des ransomwares, mettant en péril la sécurité de nombreux réseaux infiltrés.
Les cybercriminels prennent pied en exploitant la vulnérabilité citée, puis procèdent à l’installation de TrueBot. Une fois qu’ils ont pénétré les réseaux, ils installent le cheval de Troie d’accès à distance FlawedGrace (RAT) pour élever leurs privilèges, établir la persistance sur les systèmes compromis et effectuer des opérations supplémentaires.
« Pendant la phase d’exécution de FlawedGrace, le RAT stocke les charges utiles cryptées dans le registre. L’outil peut créer des tâches planifiées et injecter des charges utiles dans msiexec[.]exe et svchost[.]exe, qui sont des processus de commande qui permettent à FlawedGrace d’établir une connexion de commande et de contrôle (C2) à 92.118.36[.]199, par exemple, ainsi que le chargement de bibliothèques de liens dynamiques (DLL) pour effectuer une élévation de privilèges », le consultatif dit.
Les cybercriminels lancent des balises Cobalt Strike quelques heures après la première intrusion. Ces balises facilitent les tâches de post-exploitation, notamment le vol de données et l’installation de rançongiciels ou de différentes charges utiles de logiciels malveillants.
Alors que les versions précédentes du logiciel malveillant TrueBot se propageaient généralement via des pièces jointes malveillantes, les versions mises à jour exploitent la vulnérabilité CVE-2022-31199 pour obtenir un accès initial.
Ce changement stratégique permet aux acteurs de la cyber-menace de mener des attaques à plus grande échelle dans des environnements infiltrés. Il est important de noter que le logiciel Netwrix Auditor est utilisé par plus de 13 000 organisations dans le monde entier, y compris des entreprises notables telles qu’Airbus, Allianz, le NHS britannique et Virgin.
L’avis ne fournit pas d’informations spécifiques sur les victimes ou le nombre d’organisations touchées par les attaques TrueBot.
Le rapport souligne également la participation du malware Raspberry Robin à ces attaques TrueBot, ainsi que d’autres malwares post-compromis comme IcedID et Bumblebee. En utilisant Raspberry Robin comme plate-forme de distribution, les attaquants peuvent atteindre davantage de victimes potentielles et amplifier l’impact de leurs activités malveillantes.
🔐 Gestion des accès privilégiés : apprenez à relever les principaux défis
Découvrez différentes approches pour relever les défis de la gestion des comptes privilégiés (PAM) et améliorer votre stratégie de sécurité des accès privilégiés.
Étant donné que les groupes Silence et TA505 infiltrent activement les réseaux à des fins monétaires, il est crucial pour les organisations de mettre en œuvre les mesures de sécurité suggérées.
Pour se protéger contre les logiciels malveillants TrueBot et les menaces similaires, les entreprises doivent tenir compte des recommandations suivantes :
- Installer les mises à jour: Les organisations utilisant Netwrix Auditor doivent installer les mises à jour nécessaires pour atténuer la vulnérabilité CVE-2022-31199 et mettre à jour leur logiciel vers la version 10.5 ou supérieure.
- Améliorer les protocoles de sécurité: Déployer l’authentification multi-facteurs (MFA) pour tous les employés et services.
- Soyez vigilant aux signes d’infiltration (IOC) : Les équipes de sécurité doivent scruter activement leurs réseaux à la recherche d’indications de contamination par TrueBot. L’avertissement conjoint fournit des directives pour aider à découvrir et à réduire l’impact du logiciel malveillant.
- Signalez tout incident : Si les organisations détectent des IOC ou soupçonnent une infiltration de TrueBot, elles doivent agir rapidement conformément aux actions de réponse aux incidents décrites dans l’avertissement et signaler l’incident à CISA ou au FBI.