Agências de Segurança Cibernética soam o alarme sobre o aumento dos ataques de malware TrueBot
7 de Julho de 2023

As agências de segurança cibernética têm alertado sobre o surgimento de novas variantes do malware TrueBot.

Essa ameaça aprimorada está agora direcionando empresas nos Estados Unidos e Canadá com a intenção de extrair dados confidenciais de sistemas infiltrados.

Esses ataques sofisticados exploram uma vulnerabilidade crítica ( CVE-2022-31199 ) no servidor Netwrix Auditor amplamente utilizado e em seus agentes associados.

Essa vulnerabilidade permite que invasores não autorizados executem código malicioso com os privilégios do usuário SYSTEM, concedendo a eles acesso irrestrito aos sistemas comprometidos.

O malware TrueBot, vinculado aos coletivos de criminosos cibernéticos Silence e FIN11, é implantado para extrair dados e disseminar ransomware, comprometendo a segurança de várias redes infiltradas.

Os criminosos cibernéticos obtêm sua posição inicial explorando a vulnerabilidade mencionada e, em seguida, prosseguem para instalar o TrueBot.

Depois de invadir as redes, eles instalam o Trojan de Acesso Remoto FlawedGrace (RAT) para aumentar seus privilégios, estabelecer persistência nos sistemas comprometidos e realizar operações adicionais.

"Durante a fase de execução do FlawedGrace, o RAT armazena payloads criptografados no registro.

A ferramenta pode criar tarefas agendadas e injetar payloads no msiexec[.]exe e svchost[.]exe, que são processos de comando que permitem ao FlawedGrace estabelecer uma conexão de comando e controle (C2) para 92.118.36[.]199, por exemplo, bem como carregar bibliotecas de vínculo dinâmico (DLLs) para realizar escalonamento de privilégios", diz o aviso.

Os criminosos cibernéticos iniciam beacons do Cobalt Strike algumas horas após a primeira intrusão.

Esses beacons facilitam tarefas pós-exploração, incluindo roubo de dados e instalação de ransomware ou diferentes payloads de malware.

Enquanto as versões anteriores do malware TrueBot eram geralmente disseminadas por meio de anexos de e-mail maliciosos, as versões atualizadas aproveitam a vulnerabilidade CVE-2022-31199 para obter acesso inicial.

Essa mudança estratégica permite que os atores de ameaças cibernéticas realizem ataques em uma escala mais ampla dentro de ambientes infiltrados.

É importante ressaltar que o software Netwrix Auditor é utilizado por mais de 13.000 organizações em todo o mundo, incluindo empresas notáveis como Airbus, Allianz, o NHS do Reino Unido e Virgin.

O aviso não fornece informações específicas sobre as vítimas ou o número de organizações afetadas pelos ataques do TrueBot.

O relatório também destaca a participação do malware Raspberry Robin nesses ataques do TrueBot, bem como outros malwares pós-comprometimento como IcedID e Bumblebee.

Ao utilizar o Raspberry Robin como plataforma de distribuição, os atacantes podem atingir mais vítimas em potencial e amplificar o impacto de suas atividades maliciosas.

Considerando que os grupos Silence e TA505 estão infiltrando ativamente redes para benefício monetário, é crucial que as organizações implementem as medidas de segurança sugeridas.

Para se protegerem contra o malware TrueBot e ameaças semelhantes, as organizações devem levar em consideração as seguintes recomendações:

- Instalar atualizações: As organizações que utilizam o Netwrix Auditor devem instalar as atualizações necessárias para mitigar a vulnerabilidade CVE-2022-31199 e atualizar seu software para a versão 10.5 ou superior.

- Aprimorar protocolos de segurança: Implementar autenticação de dois fatores (MFA) para todos os funcionários e serviços.

- Ficar atento a sinais de infiltração (IOCs): As equipes de segurança devem analisar ativamente suas redes em busca de indícios de contaminação pelo TrueBot.

- Reportar quaisquer incidentes: Se as organizações detectarem IOCs ou suspeitarem de uma infiltração do TrueBot, elas devem agir rapidamente de acordo com as ações de resposta a incidentes descritas no aviso e relatar o incidente ao CISA ou ao FBI.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...