Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 11 Luglio 2023 08:13
Il 6 luglio 2023, le autorità statunitensi e canadesi hanno emesso un avviso sull’aumento dell’attività del malware Truebot relativa a alle sue nuove tattiche, tecniche e procedure (TTPs).
Un bollettino congiunto della Cybersecurity and Infrastructure Protection Agency (CISA), del Federal Bureau of Investigation (FBI), dell’Internet Security Center (MS-ISAC) e del Canadian Cyber Security Center (CCCS) rileva che gli hacker stanno utilizzando nuove varianti del malware Truebot per attaccare le organizzazioni negli Stati Uniti e in Canada. Dal 31 maggio, gli specialisti hanno iniziato a notare un aumento dell’attività di TrueBot motivata finanziariamente.
Truebot è noto per essere utilizzato dai noti gruppi di criminali informatici Clop e Silence per rubare informazioni alle vittime. La creazione di Truebot nel 2017 è attribuita al gruppo Silence, specializzato in attacchi su larga scala alle istituzioni finanziarie.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Gli aggressori erano soliti distribuire il software tramite allegati dannosi nelle e-mail di phishing, tuttavia, secondo le agenzie, ora sono passati a nuovi metodi e hanno iniziato a utilizzare varianti che sfruttano la vulnerabilità RCE (CVE-2022-31199 CVSS: 9.8 ) relative a Netwrix Auditor, un software di AUDIT e revisore dei conti. Lo sfruttamento del bug consente agli aggressori di ottenere l’accesso iniziale e navigare nella rete compromessa.
Netwrix Auditor è utilizzato da oltre 13.000 organizzazioni in 100 paesi per controllare i sistemi IT on-premise e cloud, oltre che per audit di sicurezza per le conformità del software. A dicembre 2022, sono state rilevate oltre 500 infezioni da botnet TrueBot, prevalentemente negli Stati Uniti e in Canada.
Il bollettino spiega inoltre che dopo aver scaricato il file dannoso, Truebot si rinomina e distribuisce il malware FlawedGrace nell’host. Il Trojan RAT modifica quindi il registro e i programmi di spooler, consentendogli di aumentare i privilegi e stabilire la persistenza.
Gli esperti hanno anche ricordato la connessione di Truebot con altri strumenti di distribuzione di malware , vale a dire Raspberry Robin e Cobalt Strike .
Il picco di maggio nell’attività di TrueBot è stato scoperto anche dai ricercatori di sicurezza informatica di VMware, che hanno sottolineato che la funzione principale di TrueBot è raccogliere informazioni dall’host e distribuisce il payload nella fase successiva come Cobalt Strike, il trojan FlawedGrace e il precedentemente sconosciuto Teleport: utilità di esfiltrazione dei dati.
Successivamente, viene eseguito il movimento laterale e la raccolta dei dati, quindi viene lanciato il file binario del ransomware Clop. Un’analisi dell’utilità Teleport ha mostrato che il software viene utilizzato esclusivamente per raccogliere file da OneDrive e Download, nonché messaggi da Outlook .
Gli esperti hanno suggerito misure per mitigare la crescente minaccia di Truebot, incluso il monitoraggio e il controllo dell’esecuzione del software e l’applicazione delle patch di Netwrix Auditor.
RedazioneIl Roskomnadzor della Federazione Russa ha annunciato che continua a imporre restrizioni sistematiche all’app di messaggistica WhatsApp a causa di violazioni della legge russa. Secondo l’agenzia, ...
Siamo nell’era dell’inganno a pagamento. Ogni tuo click è un referendum privato in cui vincono sempre loro, gli algoritmi. E non sbagliano mai: ti osservano, ti profilano, ti conoscono meglio di ...
Questa mattina Paragon Sec è stata contattata da un’azienda italiana vittima di un nuovo tentativo di frode conosciuto come Truffa del CEO. L’ufficio contabilità ha ricevuto un’e-mail urgente,...
i ricercatori di Check Point Software, hanno recentemente pubblicato un’indagine sull’aumento delle truffe farmaceutiche basate sull’intelligenza artificiale. È stato rilevato come i criminali ...
L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha assunto il ruolo di Root all’interno del programma Common Vulnerabilities and Exposures (CVE), diventando il principale punt...
