Обезпокоителен скок в активността на TrueBot

През май 2023 г. се наблюдава рязко повишаване на активността на TrueBot, разкриват изследователи в областта на киберсигурността.

„TrueBot е ботнет с троянски коне за изтегляне, който използва сървъри за командване и контрол, за да събира информация за компрометирани системи и да използва тази компрометирана система като отправна точка за по-нататъшни атаки“, заяви Фей Карлайл от VMware.

Активен поне от 2017 г., TrueBot е свързан с група, известна като Silence, за която се смята, че има общи припокривания с известния руски киберпрестъпник, известен като Evil Corp.

Последните инфекции с TrueBot са използвали критичен недостатък в Netwrix auditor (CVE-2022-31199, CVSS оценка: 9,8), както и Raspberry Robin като вектори за доставка.

Веригата от атаки, документирана от VMware, от друга страна, започва с drive-by-download на изпълним файл с име „update.exe“ от Google Chrome, което предполага, че потребителите са подмамени да изтеглят зловредния софтуер под претекст за софтуерна актуализация.

След като бъде стартиран, update.exe установява връзки с известен IP адрес на TrueBot, намиращ се в Русия, за да изтегли изпълним файл от втори етап („3ujwy2rz7v.exe“), който впоследствие се стартира с помощта на Windows Command Prompt.

Изпълнимият файл, от своя страна, се свързва с домейн за управление и контрол (C2) и ексфилтрира чувствителна информация от хоста. Той също така е способен да преброява процеси и системи.

„TrueBot може да бъде особено неприятна инфекция за всяка мрежа“, казва Карлайл. „Когато дадена организация е заразена с този зловреден софтуер, той може бързо да ескалира и да се превърне в по-голяма инфекция, подобно на начина, по който ransomware се разпространява в мрежата.“

Констатациите идват в момент, когато SonicWall подробно описа нов вариант на друг зловреден софтуер за изтегляне, известен като GuLoader (известен още като CloudEyE), който се използва за доставяне на широк спектър от зловреден софтуер, като Agent Tesla, Azorult и Remcos.

„В последния вариант на GuLoader се въвеждат нови начини за предизвикване на изключения, които възпрепятстват цялостния процес на анализ и изпълнението му в контролирана среда“, заяви SonicWall.

Източник: The Hacker News

Подобни публикации

4 октомври 2023

Киберсигурността: ключов фактор за настоящето и...

Месецът за повишаване на осведомеността за киберсигурността се отбе...
4 октомври 2023

Моделите на PyTorch са уязвими за изпълнение на...

Изследователи в областта на киберсигурността са разкрили множество ...
4 октомври 2023

Qualcomm издава кръпка за 3 нови нулеви дни

Производителят на чипове Qualcomm пусна актуализации за сигурност, ...
4 октомври 2023

Над 3 дузини зловредни пакети npm са насочени к...

Според констатации на Fortinet FortiGuard Labs в хранилището за пак...
4 октомври 2023

Милиони мейл сървъри на Exim са изложени на zer...

Критична уязвимост от типа „нулев ден“ във всички верси...
3 октомври 2023

Cyber Security Talks Bulgaria – ОКТОМВРИ 2023

На 10.10.2023 г. във Висшето военноморско училище в гр. Варна ще се...
3 октомври 2023

ФБР предупреждава за ръст на измамите с "фантом...

ФБР публикува съобщение за обществена услуга, в което предупреждава...
3 октомври 2023

Новият ASMCrypt Malware Loader лети под радара

Киберпрестъпници продават нов софтуер за криптиране и зареждане, на...
2 октомври 2023

Рансъмуер банди вече използват критичен недоста...

Бандите за изнудване сега се насочват към наскоро поправена критичн...
Бъдете социални
Още по темата
04/10/2023

Моделите на PyTorch са уязв...

Изследователи в областта на киберсигурността са...
02/10/2023

LostTrust се ребрандира на ...

Смята се, че операцията LostTrust ransomware...
02/10/2023

Lazarus Group се представя ...

Идващата от  Северна Корея Lazarus Group...
Последно добавени
04/10/2023

Киберсигурността: ключов фа...

Месецът за повишаване на осведомеността за...
04/10/2023

Моделите на PyTorch са уязв...

Изследователи в областта на киберсигурността са...
04/10/2023

Qualcomm издава кръпка за 3...

Производителят на чипове Qualcomm пусна актуализации...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!