Las agencias de ciberseguridad han alertado sobre la aparición de nuevas variantes del malware TrueBot. Esta amenaza mejorada ahora está dirigida a empresas en los EE. UU. y Canadá con la intención de extraer datos confidenciales de los sistemas infiltrados.
Estos sofisticados ataques explotan una vulnerabilidad crítica ( CVE-2022-31199 ) en el servidor Netwrix Auditor y sus agentes asociados.
Esta vulnerabilidad permite a los atacantes no autorizados ejecutar código malicioso con los privilegios del usuario del SISTEMA, otorgándoles acceso sin restricciones a los sistemas comprometidos.
El malware TrueBot , vinculado a los colectivos ciberdelincuentes Silence y FIN11, se despliega para desviar datos y diseminar ransomware, poniendo en peligro la seguridad de numerosas redes infiltradas.
Los ciberdelincuentes obtienen su punto de apoyo inicial al explotar la vulnerabilidad citada y luego proceden a instalar TrueBot. Una vez que han violado las redes, instalan el troyano de acceso remoto (RAT) FlawedGrace para escalar sus privilegios, establecer la persistencia en los sistemas comprometidos y realizar operaciones adicionales.
«Durante la fase de ejecución de FlawedGrace, la RAT almacena cargas útiles cifradas dentro del registro. La herramienta puede crear tareas programadas e inyectar cargas útiles en msiexec[.]exe y svchost[.]exe, que son procesos de comando que permiten a FlawedGrace establecer un comando y control (C2) a 92.118.36[.]199, por ejemplo, así como cargar bibliotecas de enlaces dinámicos (DLL) para lograr la escalada de privilegios», dice el aviso .
Los ciberdelincuentes inician las balizas Cobalt Strike varias horas después de la primera intrusión. Estas balizas facilitan las tareas posteriores a la explotación, incluido el robo de datos y la instalación de ransomware o diferentes cargas útiles de malware.
Si bien las versiones anteriores del malware TrueBot generalmente se propagaban a través de archivos adjuntos de correo electrónico maliciosos, las versiones actualizadas aprovechan la vulnerabilidad CVE-2022-31199 para obtener acceso inicial.
Este cambio estratégico permite a los actores de amenazas cibernéticas llevar a cabo ataques a una escala más amplia dentro de entornos infiltrados. Es importante destacar que el software Netwrix Auditor es empleado por más de 13 000 organizaciones en todo el mundo, incluidas firmas notables como Airbus, Allianz, el NHS del Reino Unido y Virgin.
El aviso no proporciona información específica sobre las víctimas o la cantidad de organizaciones afectadas por los ataques de TrueBot.
El informe también destaca la participación del malware Raspberry Robin en estos ataques TrueBot, así como otros malware posteriores al compromiso como IcedID y Bumblebee . Al utilizar Raspberry Robin como plataforma de distribución, los atacantes pueden llegar a más víctimas potenciales y amplificar el impacto de sus actividades maliciosas.
Dado que los grupos Silence y TA505 se están infiltrando activamente en las redes para obtener beneficios monetarios, es crucial que las organizaciones implementen las medidas de seguridad sugeridas.
Para protegerse contra el malware TrueBot y amenazas similares, las organizaciones deben tener en cuenta las siguientes recomendaciones:
- Instalar actualizaciones: las organizaciones que utilizan Netwrix Auditor deben instalar las actualizaciones necesarias para mitigar la vulnerabilidad CVE-2022-31199 y actualizar su software a la versión 10.5 o superior.
- Mejore los protocolos de seguridad : implemente la autenticación multifactor (MFA) para todos los empleados y servicios.
- Esté atento a los signos de infiltración (IOC): los equipos de seguridad deben examinar activamente sus redes en busca de indicios de contaminación TrueBot. La advertencia conjunta proporciona pautas para ayudar a descubrir y reducir el impacto del malware.
- Informe cualquier incidente: si las organizaciones detectan IOC o sospechan una infiltración de TrueBot, deben actuar rápidamente de acuerdo con las acciones de respuesta a incidentes establecidas en la advertencia e informar el incidente a CISA o al FBI.
Fuente y redacción: thehackernews.com
