Siber güvenlik araştırmacıları, Mayıs 2023’te TrueBot etkinliğinde bir artış gözlemlendiğini açıkladı.
VMware’den Fae Carlisle, “TrueBot, güvenliği ihlal edilmiş sistemler hakkında bilgi toplamak için komut ve kontrol sunucularını kullanan ve bu güvenliği ihlal edilmiş sistemi sonraki saldırılar için bir başlangıç noktası olarak kullanan bir indirici truva atı botnet’idir.” söz konusu.
En az 2017’den beri aktif olan TrueBot, Evil Corp olarak bilinen kötü şöhretli Rus siber suç aktörüyle örtüştüğüne inanılan Silence olarak bilinen bir grupla bağlantılı.
Son TrueBot enfeksiyonları, Netwrix denetçisindeki (CVE-2022-31199, CVSS puanı: 9.8) kritik bir kusurdan ve ayrıca Ahududu Robin dağıtım vektörleri olarak.
Öte yandan, VMware tarafından belgelenen saldırı zinciri, “adlı bir yürütülebilir dosyanın teker teker indirilmesiyle başlar.güncelleme.exe” Google Chrome’dan, kullanıcıların bir yazılım güncellemesi bahanesiyle kötü amaçlı yazılımı indirmeye kandırıldığını öne sürüyor.
update.exe çalıştırıldıktan sonra, daha sonra Windows Komut İstemi kullanılarak başlatılan ikinci aşama yürütülebilir dosyayı (“3ujwy2rz7v.exe”) almak için Rusya’da bulunan bilinen bir TrueBot IP adresiyle bağlantılar kurar.
Yürütülebilir dosya, kendi adına, bir komut ve kontrol (C2) etki alanına bağlanır ve ana bilgisayardan hassas bilgileri sızdırır. Ayrıca süreç ve sistem numaralandırma yeteneğine de sahiptir.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Carlisle, “TrueBot, herhangi bir ağ için özellikle kötü bir enfeksiyon olabilir” dedi. “Bir kuruluşa bu kötü amaçlı yazılım bulaştığında, fidye yazılımının bir ağ boyunca yayılmasına benzer şekilde hızla daha büyük bir enfeksiyona dönüşebilir.”
Bulgular, SonicWall’ın Ajan Tesla, Azorult ve Remcos gibi çok çeşitli kötü amaçlı yazılımları dağıtmak için kullanılan GuLoader (aka CloudEyE) olarak bilinen başka bir indirici kötü amaçlı yazılımın yeni bir varyantını ayrıntılı olarak açıklamasıyla geldi.
SonicWall, “GuLoader’ın en son varyantında, tam analiz sürecini ve kontrollü ortam altında yürütülmesini engelleyen istisnalar oluşturmanın yeni yollarını sunuyor.” söz konusu.
