Sự gia tăng đáng báo động trong hoạt động TrueBot được tiết lộ với các vectơ phân phối mới

Ngày 05 tháng 6 năm 2023Ravie Lakshmanan Phần mềm độc hại / Mối đe dọa mạng

Các nhà nghiên cứu an ninh mạng tiết lộ rằng hoạt động TrueBot đã tăng đột biến vào tháng 5 năm 2023.

Fae Carlisle của VMware cho biết: “TrueBot là một botnet trojan tải xuống sử dụng các máy chủ chỉ huy và kiểm soát để thu thập thông tin trên các hệ thống bị xâm nhập và sử dụng hệ thống bị xâm phạm đó làm điểm khởi đầu cho các cuộc tấn công tiếp theo”.

Hoạt động ít nhất từ ​​năm 2017, TrueBot được liên kết với một nhóm có tên là Im lặng được cho là có chung các điểm trùng lặp với diễn viên tội phạm mạng khét tiếng của Nga có tên là Evil Corp.

Các trường hợp lây nhiễm TrueBot gần đây đã tận dụng một lỗ hổng nghiêm trọng trong trình kiểm tra Netwrix (CVE-2022-31199, điểm CVSS: 9,8) cũng như Raspberry Robin làm vectơ phân phối.

Mặt khác, chuỗi tấn công do VMware ghi lại bắt đầu bằng việc tải xuống từng ổ tệp thực thi có tên “update.exe” từ Google Chrome, gợi ý rằng người dùng bị dụ tải xuống phần mềm độc hại với lý do cập nhật phần mềm .

Sau khi chạy, update.exe thiết lập kết nối với địa chỉ IP TrueBot đã biết ở Nga để truy xuất tệp thực thi giai đoạn hai (“3ujwy2rz7v.exe”) sau đó được khởi chạy bằng Dấu nhắc lệnh của Windows.

Về phần mình, tệp thực thi kết nối với miền chỉ huy và kiểm soát (C2) và lọc thông tin nhạy cảm khỏi máy chủ. Nó cũng có khả năng xử lý và liệt kê hệ thống.

HỘI THẢO TRỰC TUYẾN SẮP TỚI

🔐 Làm chủ bảo mật API: Hiểu bề mặt tấn công thực sự của bạn

Khám phá các lỗ hổng chưa được khai thác trong hệ sinh thái API của bạn và chủ động thực hiện các bước hướng tới bảo mật bọc thép. Tham gia hội thảo trên web sâu sắc của chúng tôi!

tham gia phiên

Carlisle nói: “TrueBot có thể là một sự lây nhiễm đặc biệt khó chịu đối với bất kỳ mạng nào. “Khi một tổ chức bị nhiễm phần mềm độc hại này, nó có thể nhanh chóng leo thang để trở thành một ổ nhiễm trùng lớn hơn, tương tự như cách ransomware lây lan khắp mạng.”

Phát hiện này được đưa ra khi SonicWall mô tả chi tiết một biến thể mới của một phần mềm độc hại khác dành cho trình tải xuống có tên là GuLoader (hay còn gọi là CloudEyE) được sử dụng để phân phối nhiều loại phần mềm độc hại như Agent Tesla, Azorult và Remcos.

SonicWall cho biết: “Trong biến thể mới nhất của GuLoader, nó giới thiệu những cách mới để đưa ra các ngoại lệ cản trở quá trình phân tích hoàn chỉnh và việc thực thi nó trong môi trường được kiểm soát.