Οι οργανισμοί κυβερνοασφάλειας κρούουν τον κώδωνα του κινδύνου για τις αυξανόμενες επιθέσεις κακόβουλου λογισμικού TrueBot.
Οι οργανισμοί κυβερνοασφάλειας έχουν προειδοποιήσει για την εμφάνιση νέων παραλλαγών του κακόβουλου λογισμικού TrueBot, το οποίο τώρα στοχεύει εταιρείες στις ΗΠΑ και τον Καναδά με σκοπό την απόσπαση εμπιστευτικών δεδομένων από τα συστήματα που έχουν διεισδύσει.
Αυτές οι εξελιγμένες επιθέσεις εκμεταλλεύονται μια κρίσιμη ευπάθεια (CVE-2022-31199) στον ευρέως χρησιμοποιούμενο διακομιστή Netwrix Auditor και στους σχετικούς πράκτορες.
Αυτή η ευπάθεια επιτρέπει σε μη εξουσιοδοτημένους επιτιθέμενους να εκτελούν κακόβουλο κώδικα με τα προνόμια του χρήστη SYSTEM, παρέχοντάς τους απεριόριστη πρόσβαση στο παραβιασμένο σύστημα.
Το TrueBot malware, το οποίο συνδέεται με τις εγκληματικές συλλογικότητες Silence και FIN11, αναπτύσσεται για την κλοπή δεδομένων και τη διάδοση ransomware, θέτοντας σε κίνδυνο την ασφάλεια πολλών διεισδυτικών δικτύων.
Οι χάκερ αποκτούν το αρχικό τους πάτημα εκμεταλλευόμενοι την αναφερόμενη ευπάθεια και στη συνέχεια προχωρούν στην εγκατάσταση του TrueBot. Μόλις παραβιάσουν τα δίκτυα, εγκαθιστούν το FlawedGrace Remote Access Trojan (RAT) προκειμένου να κλιμακώσουν τα προνόμιά τους, να εγκαθιδρύσουν persistence στα παραβιασμένα συστήματα και να διεξάγουν πρόσθετα operations.
Δείτε επίσης: Rekoobe Malware: Στοχεύει ευάλωτους Linux servers
Οι χάκερ εκκινούν τα beacons Cobalt Strike εντός αρκετών ωρών από την πρώτη εισβολή για να διευκολύνουν τις εργασίες μετά το exploitation, συμπεριλαμβανομένης της κλοπής δεδομένων και της εγκατάστασης ransomware ή διαφόρων malware payloads.
Οι προηγούμενες εκδόσεις του κακόβουλου λογισμικού TrueBot διαδίδονταν συνήθως μέσω κακόβουλων συνημμένων email, αλλά οι ενημερωμένες εκδόσεις εκμεταλλεύονται την ευπάθεια CVE-2022-31199 για να αποκτήσουν αρχική πρόσβαση.
Αυτή η στρατηγική στροφή επιτρέπει στους φορείς κυβερνοαπειλών να πραγματοποιούν επιθέσεις σε ευρύτερη κλίμακα μέσα σε διεισδυτικά περιβάλλοντα. Είναι σημαντικό ότι το λογισμικό Netwrix Auditor χρησιμοποιείται από περισσότερους από 13.000 οργανισμούς παγκοσμίως, συμπεριλαμβανομένων αξιόλογων εταιρειών όπως η Airbus, η Allianz, το NHS του Ηνωμένου Βασιλείου και η Virgin.
Η συμβουλευτική δεν παρέχει συγκεκριμένες πληροφορίες σχετικά με τα θύματα ή τον αριθμό των οργανισμών που έχουν πληγεί από τις επιθέσεις TrueBot.
Η έκθεση υπογραμμίζει επίσης τη συμμετοχή του κακόβουλου λογισμικού Raspberry Robin σε αυτές τις επιθέσεις TrueBot, καθώς και άλλων κακόβουλων λογισμικών μετά την παραβίαση, όπως τα IcedID και Bumblebee. Χρησιμοποιώντας το Raspberry Robin ως πλατφόρμα διανομής, οι επιτιθέμενοι μπορούν να προσεγγίσουν περισσότερα δυνητικά θύματα και να ενισχύσουν τον αντίκτυπο των κακόβουλων δραστηριοτήτων τους.
Δεδομένου ότι οι ομάδες Silence και TA505 διεισδύουν ενεργά σε δίκτυα με σκοπό το χρηματικό κέρδος, είναι ζωτικής σημασίας για τους οργανισμούς να εφαρμόσουν τα προτεινόμενα μέτρα ασφαλείας.
Για να προστατευτούν από το κακόβουλο λογισμικό TrueBot και παρόμοιες απειλές, οι οργανισμοί θα πρέπει να λάβουν υπόψη τους τις ακόλουθες συστάσεις
- Εγκατάσταση ενημερώσεων: Οι οργανισμοί που χρησιμοποιούν το Netwrix Auditor θα πρέπει να εγκαταστήσουν τις απαραίτητες ενημερώσεις για να μετριάσουν την ευπάθεια CVE-2022-31199 και να ενημερώσουν το λογισμικό τους στην έκδοση 10.5 ή νεότερη.
- Βελτιώστε τα πρωτόκολλα ασφαλείας: Αναπτύξτε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για όλους τους υπαλλήλους και τις υπηρεσίες.
- Να είστε προσεκτικοί για ενδείξεις infiltration (IOCs): Οι ομάδες ασφαλείας πρέπει να ελέγχουν ενεργά τα δίκτυά τους για ενδείξεις μόλυνσης από το TrueBot. Η κοινή προειδοποίηση παρέχει οδηγίες που βοηθούν στον εντοπισμό και τη μείωση του αντίκτυπου του κακόβουλου λογισμικού.
- Εάν οι οργανισμοί εντοπίσουν IOC ή υποψιαστούν διείσδυση του TrueBot, πρέπει να ενεργήσουν γρήγορα σύμφωνα με τις ενέργειες αντιμετώπισης περιστατικών που ορίζονται στην προειδοποίηση και να αναφέρουν το περιστατικό στην CISA ή στο FBI.
Πηγή πληροφοριών: thehackernews.com
ΠΗΓΗ: secnews.gr
