Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il 6 luglio 2023, le autorità statunitensi e canadesi hanno emesso un avviso sull’aumento dell’attività del malware Truebot relativa a alle sue nuove tattiche, tecniche e procedure (TTPs).
Un bollettino congiunto della Cybersecurity and Infrastructure Protection Agency (CISA), del Federal Bureau of Investigation (FBI), dell’Internet Security Center (MS-ISAC) e del Canadian Cyber Security Center (CCCS) rileva che gli hacker stanno utilizzando nuove varianti del malware Truebot per attaccare le organizzazioni negli Stati Uniti e in Canada. Dal 31 maggio, gli specialisti hanno iniziato a notare un aumento dell’attività di TrueBot motivata finanziariamente.
Truebot è noto per essere utilizzato dai noti gruppi di criminali informatici Clop e Silence per rubare informazioni alle vittime. La creazione di Truebot nel 2017 è attribuita al gruppo Silence, specializzato in attacchi su larga scala alle istituzioni finanziarie.
Gli aggressori erano soliti distribuire il software tramite allegati dannosi nelle e-mail di phishing, tuttavia, secondo le agenzie, ora sono passati a nuovi metodi e hanno iniziato a utilizzare varianti che sfruttano la vulnerabilità RCE (CVE-2022-31199 CVSS: 9.8 ) relative a Netwrix Auditor, un software di AUDIT e revisore dei conti. Lo sfruttamento del bug consente agli aggressori di ottenere l’accesso iniziale e navigare nella rete compromessa.
Netwrix Auditor è utilizzato da oltre 13.000 organizzazioni in 100 paesi per controllare i sistemi IT on-premise e cloud, oltre che per audit di sicurezza per le conformità del software. A dicembre 2022, sono state rilevate oltre 500 infezioni da botnet TrueBot, prevalentemente negli Stati Uniti e in Canada.
Il bollettino spiega inoltre che dopo aver scaricato il file dannoso, Truebot si rinomina e distribuisce il malware FlawedGrace nell’host. Il Trojan RAT modifica quindi il registro e i programmi di spooler, consentendogli di aumentare i privilegi e stabilire la persistenza.
Gli esperti hanno anche ricordato la connessione di Truebot con altri strumenti di distribuzione di malware , vale a dire Raspberry Robin e Cobalt Strike .
Il picco di maggio nell’attività di TrueBot è stato scoperto anche dai ricercatori di sicurezza informatica di VMware, che hanno sottolineato che la funzione principale di TrueBot è raccogliere informazioni dall’host e distribuisce il payload nella fase successiva come Cobalt Strike, il trojan FlawedGrace e il precedentemente sconosciuto Teleport: utilità di esfiltrazione dei dati.
Successivamente, viene eseguito il movimento laterale e la raccolta dei dati, quindi viene lanciato il file binario del ransomware Clop. Un’analisi dell’utilità Teleport ha mostrato che il software viene utilizzato esclusivamente per raccogliere file da OneDrive e Download, nonché messaggi da Outlook .
Gli esperti hanno suggerito misure per mitigare la crescente minaccia di Truebot, incluso il monitoraggio e il controllo dell’esecuzione del software e l’applicazione delle patch di Netwrix Auditor.
