Ngày 07 tháng 7 năm 2023Swati KhandelwalTấn công mạng / Phần mềm độc hại
Các cơ quan an ninh mạng đã cảnh báo về sự xuất hiện của các biến thể mới của phần mềm độc hại TrueBot. Mối đe dọa nâng cao này hiện đang nhắm mục tiêu vào các công ty ở Hoa Kỳ và Canada với mục đích trích xuất dữ liệu bí mật từ các hệ thống bị xâm nhập.
Các cuộc tấn công tinh vi này khai thác lỗ hổng nghiêm trọng (CVE-2022-31199) trong máy chủ Netwrix Auditor được sử dụng rộng rãi và các tác nhân liên quan.
Lỗ hổng này cho phép những kẻ tấn công trái phép thực thi mã độc với các đặc quyền của người dùng HỆ THỐNG, cấp cho họ quyền truy cập không hạn chế vào các hệ thống bị xâm nhập.
Phần mềm độc hại TrueBot, được liên kết với tập thể tội phạm mạng Im lặng và FIN11, được triển khai để hút dữ liệu và phổ biến phần mềm tống tiền, gây nguy hiểm cho sự an toàn của nhiều mạng bị xâm nhập.
Tội phạm mạng giành được chỗ đứng ban đầu bằng cách khai thác lỗ hổng được trích dẫn, sau đó tiến hành cài đặt TrueBot. Sau khi xâm nhập được vào mạng, chúng sẽ cài đặt FlawedGrace Remote Access Trojan (RAT) để leo thang đặc quyền của chúng, thiết lập sự tồn tại trên các hệ thống bị xâm nhập và tiến hành các hoạt động bổ sung.
“Trong giai đoạn thực thi của FlawedGrace, RAT lưu trữ các tải trọng được mã hóa trong sổ đăng ký. Công cụ này có thể tạo các tác vụ theo lịch trình và đưa tải trọng vào msiexec[.]exe và svchost[.]exe, là các quy trình lệnh cho phép FlawedGrace thiết lập kết nối lệnh và kiểm soát (C2) tới 92.118.36[.]199, cũng như tải các thư viện liên kết động (DLL) để thực hiện leo thang đặc quyền,” lời khuyên cho biết.
Tội phạm mạng khởi tạo đèn hiệu cobalt strike trong vòng vài giờ kể từ lần xâm nhập đầu tiên. Các báo hiệu này tạo điều kiện thuận lợi cho các tác vụ sau khai thác, bao gồm đánh cắp dữ liệu và cài đặt phần mềm tống tiền hoặc các phần mềm độc hại khác.
Mặc dù các phiên bản trước của phần mềm độc hại TrueBot thường lây lan qua các tệp đính kèm email độc hại, các phiên bản cập nhật tận dụng lỗ hổng CVE-2022-31199 để có quyền truy cập ban đầu.
Sự thay đổi chiến lược này cho phép các tác nhân đe dọa mạng thực hiện các cuộc tấn công trên quy mô rộng hơn trong các môi trường bị xâm nhập. Điều quan trọng là phần mềm Netwrix Auditor được sử dụng bởi hơn 13.000 tổ chức trên toàn thế giới, bao gồm các công ty nổi tiếng như Airbus, Allianz, NHS của Vương quốc Anh và Virgin.
Lời khuyên không cung cấp thông tin cụ thể về nạn nhân hoặc số lượng tổ chức bị ảnh hưởng bởi các cuộc tấn công TrueBot.
Báo cáo cũng nhấn mạnh sự tham gia của phần mềm độc hại Raspberry Robin trong các cuộc tấn công TrueBot này, cũng như phần mềm độc hại hậu thỏa hiệp khác như IcedID và Bumblebee. Bằng cách sử dụng Raspberry Robin làm nền tảng phân phối, kẻ tấn công có thể tiếp cận nhiều nạn nhân tiềm năng hơn và khuếch đại tác động của các hoạt động độc hại của chúng.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
🔐 Quản lý quyền truy cập đặc quyền: Tìm hiểu cách chinh phục những thách thức chính
Khám phá các cách tiếp cận khác nhau để chinh phục các thử thách Quản lý tài khoản đặc quyền (PAM) và tăng cấp cho chiến lược bảo mật truy cập đặc quyền của bạn.
Đặt chỗ của bạn
Cho rằng các nhóm Im lặng và TA505 đang tích cực xâm nhập vào các mạng vì lợi ích tiền tệ, điều quan trọng đối với các tổ chức là thực hiện các biện pháp bảo mật được đề xuất.
Để tự bảo vệ mình khỏi phần mềm độc hại TrueBot và các mối đe dọa tương tự, các tổ chức nên tính đến các đề xuất sau:
Cài đặt các bản cập nhật: Các tổ chức sử dụng Netwrix Auditor nên cài đặt các bản cập nhật cần thiết để giảm thiểu lỗ hổng CVE-2022-31199 và cập nhật phần mềm của họ lên phiên bản 10.5 trở lên. Nâng cao các giao thức bảo mật: Triển khai xác thực đa yếu tố (MFA) cho tất cả nhân viên và dịch vụ. Hãy cảnh giác với các dấu hiệu xâm nhập (IOC): Các nhóm bảo mật phải tích cực xem xét kỹ lưỡng mạng của họ để tìm các dấu hiệu nhiễm TrueBot. Cảnh báo chung cung cấp các hướng dẫn để giúp phát hiện và giảm tác động của phần mềm độc hại. Báo cáo bất kỳ sự cố nào: Nếu các tổ chức phát hiện IOC hoặc nghi ngờ có sự xâm nhập của TrueBot, họ phải hành động nhanh chóng theo các hành động ứng phó sự cố được nêu trong cảnh báo và báo cáo sự cố cho CISA hoặc FBI.
