As agências de segurança cibernética têm alertado sobre o surgimento de novas variantes do malware TrueBot.
Essa ameaça aprimorada está agora direcionando empresas nos Estados Unidos e Canadá com a intenção de extrair dados confidenciais de sistemas infiltrados.
Esses ataques sofisticados exploram uma vulnerabilidade crítica (
CVE-2022-31199
) no servidor Netwrix Auditor amplamente utilizado e em seus agentes associados.
Essa vulnerabilidade permite que invasores não autorizados executem código malicioso com os privilégios do usuário SYSTEM, concedendo a eles acesso irrestrito aos sistemas comprometidos.
O malware TrueBot, vinculado aos coletivos de criminosos cibernéticos Silence e FIN11, é implantado para extrair dados e disseminar ransomware, comprometendo a segurança de várias redes infiltradas.
Os criminosos cibernéticos obtêm sua posição inicial explorando a vulnerabilidade mencionada e, em seguida, prosseguem para instalar o TrueBot.
Depois de invadir as redes, eles instalam o Trojan de Acesso Remoto FlawedGrace (RAT) para aumentar seus privilégios, estabelecer persistência nos sistemas comprometidos e realizar operações adicionais.
"Durante a fase de execução do FlawedGrace, o RAT armazena payloads criptografados no registro.
A ferramenta pode criar tarefas agendadas e injetar payloads no msiexec[.]exe e svchost[.]exe, que são processos de comando que permitem ao FlawedGrace estabelecer uma conexão de comando e controle (C2) para 92.118.36[.]199, por exemplo, bem como carregar bibliotecas de vínculo dinâmico (DLLs) para realizar escalonamento de privilégios", diz o aviso.
Os criminosos cibernéticos iniciam beacons do Cobalt Strike algumas horas após a primeira intrusão.
Esses beacons facilitam tarefas pós-exploração, incluindo roubo de dados e instalação de ransomware ou diferentes payloads de malware.
Enquanto as versões anteriores do malware TrueBot eram geralmente disseminadas por meio de anexos de e-mail maliciosos, as versões atualizadas aproveitam a vulnerabilidade
CVE-2022-31199
para obter acesso inicial.
Essa mudança estratégica permite que os atores de ameaças cibernéticas realizem ataques em uma escala mais ampla dentro de ambientes infiltrados.
É importante ressaltar que o software Netwrix Auditor é utilizado por mais de 13.000 organizações em todo o mundo, incluindo empresas notáveis como Airbus, Allianz, o NHS do Reino Unido e Virgin.
O aviso não fornece informações específicas sobre as vítimas ou o número de organizações afetadas pelos ataques do TrueBot.
O relatório também destaca a participação do malware Raspberry Robin nesses ataques do TrueBot, bem como outros malwares pós-comprometimento como IcedID e Bumblebee.
Ao utilizar o Raspberry Robin como plataforma de distribuição, os atacantes podem atingir mais vítimas em potencial e amplificar o impacto de suas atividades maliciosas.
Considerando que os grupos Silence e TA505 estão infiltrando ativamente redes para benefício monetário, é crucial que as organizações implementem as medidas de segurança sugeridas.
Para se protegerem contra o malware TrueBot e ameaças semelhantes, as organizações devem levar em consideração as seguintes recomendações:
- Instalar atualizações: As organizações que utilizam o Netwrix Auditor devem instalar as atualizações necessárias para mitigar a vulnerabilidade
CVE-2022-31199
e atualizar seu software para a versão 10.5 ou superior.
- Aprimorar protocolos de segurança: Implementar autenticação de dois fatores (MFA) para todos os funcionários e serviços.
- Ficar atento a sinais de infiltração (IOCs): As equipes de segurança devem analisar ativamente suas redes em busca de indícios de contaminação pelo TrueBot.
- Reportar quaisquer incidentes: Se as organizações detectarem IOCs ou suspeitarem de uma infiltração do TrueBot, elas devem agir rapidamente de acordo com as ações de resposta a incidentes descritas no aviso e relatar o incidente ao CISA ou ao FBI.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...