Търсене
Close this search box.

Обезпокоителен скок в активността на TrueBot

През май 2023 г. се наблюдава рязко повишаване на активността на TrueBot, разкриват изследователи в областта на киберсигурността.

„TrueBot е ботнет с троянски коне за изтегляне, който използва сървъри за командване и контрол, за да събира информация за компрометирани системи и да използва тази компрометирана система като отправна точка за по-нататъшни атаки“, заяви Фей Карлайл от VMware.

Активен поне от 2017 г., TrueBot е свързан с група, известна като Silence, за която се смята, че има общи припокривания с известния руски киберпрестъпник, известен като Evil Corp.

Последните инфекции с TrueBot са използвали критичен недостатък в Netwrix auditor (CVE-2022-31199, CVSS оценка: 9,8), както и Raspberry Robin като вектори за доставка.

Веригата от атаки, документирана от VMware, от друга страна, започва с drive-by-download на изпълним файл с име „update.exe“ от Google Chrome, което предполага, че потребителите са подмамени да изтеглят зловредния софтуер под претекст за софтуерна актуализация.

След като бъде стартиран, update.exe установява връзки с известен IP адрес на TrueBot, намиращ се в Русия, за да изтегли изпълним файл от втори етап („3ujwy2rz7v.exe“), който впоследствие се стартира с помощта на Windows Command Prompt.

Изпълнимият файл, от своя страна, се свързва с домейн за управление и контрол (C2) и ексфилтрира чувствителна информация от хоста. Той също така е способен да преброява процеси и системи.

„TrueBot може да бъде особено неприятна инфекция за всяка мрежа“, казва Карлайл. „Когато дадена организация е заразена с този зловреден софтуер, той може бързо да ескалира и да се превърне в по-голяма инфекция, подобно на начина, по който ransomware се разпространява в мрежата.“

Констатациите идват в момент, когато SonicWall подробно описа нов вариант на друг зловреден софтуер за изтегляне, известен като GuLoader (известен още като CloudEyE), който се използва за доставяне на широк спектър от зловреден софтуер, като Agent Tesla, Azorult и Remcos.

„В последния вариант на GuLoader се въвеждат нови начини за предизвикване на изключения, които възпрепятстват цялостния процес на анализ и изпълнението му в контролирана среда“, заяви SonicWall.

Източник: The Hacker News

Подобни публикации

30 май 2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка, за да спечели...
30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
28 май 2024

VMware е била използвана в неотдавнашната хакер...

MITRE сподели информация за това как свързаните с Китай хакери са и...

Как работи Интерпол в областта на киберпрестъпн...

Необходима е сложна координация между правоприлагащите органи, съде...
Бъдете социални
Още по темата
27/05/2024

Недостатък в Replicate AI и...

Изследователи в областта на киберсигурността са...
27/05/2024

Фалшиви антивирусни сайтове...

Наблюдавани са  заплахи, които използват фалшиви...
26/04/2024

Банковият троянец Godfather...

Операторите на мобилен зловреден софтуер като...
Последно добавени
30/05/2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка,...
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!