Σφάλμα Netwrix Auditor RCE που χρησιμοποιείται σε επιθέσεις κακόβουλου λογισμικού Truebot
Η CISA και το FBI προειδοποίησαν σήμερα για νέες παραλλαγές κακόβουλου λογισμικού Truebot που αναπτύσσονται σε δίκτυα που έχουν παραβιαστεί χρησιμοποιώντας μια ευπάθεια κρίσιμης απομακρυσμένης εκτέλεσης κώδικα (RCE) στο λογισμικό Netwrix Auditor σε επιθέσεις που στοχεύουν οργανισμούς στις Ηνωμένες Πολιτείες και τον Καναδά.
Το σφάλμα (παρακολουθείται ως
CVE-2022-31199
) επηρεάζει τον διακομιστή Netwrix Auditor και τους πράκτορες που είναι εγκατεστημένοι σε συστήματα παρακολούθησης δικτύου και επιτρέπει σε μη εξουσιοδοτημένους εισβολείς να εκτελούν κακόβουλο κώδικα με τα προνόμια του χρήστη SYSTEM.
Το TrueBot είναι ένα πρόγραμμα λήψης κακόβουλου λογισμικού που συνδέεται με τη ρωσόφωνη ομάδα κυβερνοεγκλήματος Silence και χρησιμοποιείται από χάκερ TA505 (που σχετίζονται με την ομάδα FIN11) για την ανάπτυξη
ransomware
Clop σε δίκτυα που έχουν παραβιαστεί από τον Δεκέμβριο του 2022.
Μετά την εγκατάσταση του TrueBot σε δίκτυα που έχουν παραβιαστεί, οι εισβολείς εγκαθιστούν το FlawedGrace Remote Access Trojan (RAT), συνδεδεμένο επίσης με την ομάδα TA505, η οποία τους επιτρέπει να κλιμακώνουν τα προνόμια και να εδραιώνουν την επιμονή στα παραβιασμένα συστήματα.
Ώρες μετά την αρχική παραβίαση, θα αναπτύξουν επίσης Beacons Cobalt Strike που θα μπορούσαν αργότερα να χρησιμοποιηθούν για διάφορες εργασίες μετά την εκμετάλλευση, συμπεριλαμβανομένης της κλοπής δεδομένων και της απόρριψης περαιτέρω ωφέλιμων φορτίων κακόβουλου λογισμικού, όπως το ransomware.
“Οι προηγούμενες παραλλαγές κακόβουλου λογισμικού Truebot παραδόθηκαν κυρίως από φορείς απειλών στον κυβερνοχώρο μέσω κακόβουλων συνημμένων ηλεκτρονικού “ψαρέματος” (
phishing
), ωστόσο, οι νεότερες εκδόσεις επιτρέπουν στους φορείς απειλών στον κυβερνοχώρο να αποκτήσουν επίσης αρχική πρόσβαση μέσω της εκμετάλλευσης του CVE-2022-31199″, οι δύο ομοσπονδιακές υπηρεσίες.
είπε σε κοινή έκθεση
με το MS-ISAC και το Canadian Center for Cyber
Security
.
«Μόλις τον Μάιο του 2023, οι φορείς απειλών στον κυβερνοχώρο χρησιμοποίησαν αυτήν την κοινή ευπάθεια και την έκθεση για να παραδώσουν νέες παραλλαγές κακόβουλου λογισμικού Truebot και να συλλέξουν και να διεισδύσουν πληροφορίες εναντίον οργανισμών στις ΗΠΑ και τον Καναδά».
Με βάση τη φύση των λειτουργιών Truebot που έχουν παρατηρηθεί μέχρι στιγμής, ο πρωταρχικός στόχος των παραγόντων απειλών πίσω από το Truebot είναι να κλέψουν ευαίσθητες πληροφορίες από παραβιασμένα συστήματα για οικονομικό όφελος.
Συνιστάται στις ομάδες ασφαλείας να αναζητούν σημάδια κακόβουλης δραστηριότητας που υποδεικνύουν μόλυνση από το Truebot, χρησιμοποιώντας τις οδηγίες που κοινοποιούνται στη σημερινή κοινή συμβουλευτική.
Εάν εντοπίσουν οποιουσδήποτε δείκτες συμβιβασμού (IOC) εντός του δικτύου του οργανισμού τους, θα πρέπει να εφαρμόσουν αμέσως μέτρα μετριασμού και αντιμετώπισης περιστατικών που περιγράφονται στη συμβουλευτική και να αναφέρουν το περιστατικό στην CISA ή στο FBI.
Εάν ο οργανισμός σας χρησιμοποιεί το λογισμικό ελέγχου συστημάτων πληροφορικής της Netwrix, θα πρέπει να εφαρμόσετε ενημερώσεις κώδικα για την αντιμετώπιση της ευπάθειας CVE-2022-31199 και να ενημερώσετε το Netwrix Auditor στην έκδοση 10.5.
Η χρήση πιστοποίησης πολλαπλών παραγόντων (MFA) ανθεκτικό σε ηλεκτρονικό ψάρεμα (phishing) για όλο το προσωπικό και τις υπηρεσίες για τον αποκλεισμό της πρόσβασης σε κρίσιμα συστήματα είναι επίσης ένας καλός τρόπος για να σταματήσουν τέτοιες επιθέσεις.
Η Netwrix λέει ότι τα προϊόντα της χρησιμοποιούνται από περισσότερους από 13.000 οργανισμούς παγκοσμίως, συμπεριλαμβανομένων εκείνων υψηλού προφίλ όπως η
Airbus
, η Allianz, το NHS του Ηνωμένου Βασιλείου και η Virgin.
