TrueBot-Malware
Cybersicherheitsbehörden haben vor dem Auftreten neuer Varianten der TrueBot-Malware gewarnt. Diese verbesserte Bedrohung zielt nun auf Unternehmen in den USA und Kanada ab, mit dem Ziel, vertrauliche Daten aus infiltrierten Systemen zu extrahieren.
Diese ausgeklügelten Angriffe nutzen eine kritische Schwachstelle (CVE-2022-31199) im weit verbreiteten Netwrix Auditor-Server und seinen zugehörigen Agenten aus.
Diese Schwachstelle ermöglicht es unbefugten Angreifern, bösartigen Code mit den Privilegien des SYSTEM-Benutzers auszuführen, wodurch ihnen uneingeschränkter Zugriff auf kompromittierte Systeme gewährt wird.
Die TrueBot-Malware, die mit den kriminellen Gruppen Silence und FIN11 in Verbindung gebracht wird, wird eingesetzt, um Daten abzuzweigen und Ransomware zu verbreiten, wodurch die Sicherheit zahlreicher infiltrierter Netzwerke gefährdet wird.
Die Cyberkriminellen gewinnen ihren ersten Fussabdruck, indem sie die genannte Schwachstelle ausnutzen und dann TrueBot installieren. Sobald sie in die Netzwerke eingedrungen sind, installieren sie den FlawedGrace Remote Access Trojan (RAT), um ihre Privilegien zu eskalieren, Persistenz auf den kompromittierten Systemen herzustellen und zusätzliche Operationen durchzuführen.
Während der Ausführungsphase von FlawedGrace speichert der RAT verschlüsselte Nutzlasten in der Registrierung. Das Tool kann geplante Aufgaben erstellen und Nutzlasten in msiexec[.]exe und svchost[.]exe einspritzen, dies sind Befehlsprozesse, die FlawedGrace ermöglichen, eine Befehls- und Kontrollverbindung (C2) zu beispielsweise 92.118.36.199 herzustellen und dynamische Verknüpfungsbibliotheken (DLLs) zu laden, um Privileg-Eskalation zu erreichen“, heisst es in der Warnung.
Die Cyberkriminellen initiieren Cobalt Strike-Beacons innerhalb weniger Stunden nach dem ersten Eindringen. Diese Beacons erleichtern Nachexpolationsaufgaben wie Datenraub und die Installation von Ransomware oder verschiedenen Malware-Nutzlasten.
Während frühere Versionen der TrueBot-Malware in der Regel über bösartige E-Mail-Anhänge verbreitet wurden, nutzen die aktualisierten Versionen die Schwachstelle CVE-2022-31199, um den ersten Zugriff zu erlangen.
Diese strategische Änderung ermöglicht es den Cyberbedrohungsakteuren, Angriffe in grösserem Umfang innerhalb infiltrierter Umgebungen durchzuführen. Wichtig ist, dass die Netwrix Auditor-Software von über 13.000 Organisationen weltweit eingesetzt wird, darunter namhafte Unternehmen wie Airbus, Allianz, das britische NHS und Virgin.
Der Bericht liefert keine spezifischen Informationen über die Opfer oder die Anzahl der von den TrueBot-Angriffen betroffenen Organisationen.
Der Bericht hebt auch die Beteiligung der Raspberry Robin-Malware an diesen TrueBot-Angriffen sowie anderer Malware nach der Kompromittierung wie IcedID und Bumblebee hervor. Durch die Nutzung von Raspberry Robin als Distributionsplattform können Angreifer mehr potenzielle Opfer erreichen und die Auswirkungen ihrer bösartigen Aktivitäten verstärken.
Weiterlesen in Original Artikel: https://thehackernews.com/2023/07/cybersecurity-agencies-sound-alarm-on.html