CISA ve FBI, bugün Amerika Birleşik Devletleri ve Kanada'daki kuruluşları hedefleyen saldırılarda NetWrix denetçisi yazılımında kritik bir Uzaktan Kod Yürütme (RCE) güvenlik açığı kullanılarak tehlikeye atılan ağlara dağıtılan yeni TrueBot kötü amaçlı yazılım varyantları konusunda uyardı.
Hata (CVE-2022-31199 olarak izlenen) NetWrix Denetçisi sunucusunu ve izlenen ağ sistemlerine yüklenen aracıları etkiler ve yetkisiz saldırganların sistem kullanıcının ayrıcalıklarıyla kötü amaçlı kod yürütmesini sağlar.
TrueBot, Rusça konuşan Sessizlik Siber Salonu Grubuna bağlı ve TA505 hackerları (FIN11 grubuyla ilişkili) tarafından Aralık 2022'den bu yana uzlaşmış ağlarda clop fidye yazılımlarını dağıtmak için kullanılan bir kötü amaçlı yazılım indiricisidir.
TrueBot'u ihlal edilen ağlara kurduktan sonra, saldırganlar, ayrıca ayrıcalıkları artırmalarına ve hacklenen sistemlerde kalıcılık oluşturmalarına olanak tanıyan TA505 grubuna bağlı olan kusurlu uzaktan erişim Truva atını (sıçan) kurarlar.
İlk ihlalden saatler sonra, daha sonra veri hırsızlığı ve fidye yazılımı gibi daha fazla kötü amaçlı yazılım yükleri de dahil olmak üzere çeşitli işten çıkarma sonrası görevler için kullanılabilecek kobalt grev işaretleri de dağıtacaklar.
"Önceki Truebot kötü amaçlı yazılım varyantları öncelikle siber tehdit aktörleri tarafından kötü niyetli kimlik avı e-posta ekleri aracılığıyla teslim edildi; ancak daha yeni sürümler, siber tehdit aktörlerinin CVE-2022-31199'dan yararlanarak başlangıç erişimine izin veriyor." Dedi. MS-ISAC ve Kanada Siber Güvenlik Merkezi.
"Mayıs 2023 kadar yakın bir zamanda, siber tehdit aktörleri bu ortak güvenlik açığı ve maruziyeti yeni Truebot kötü amaçlı yazılım varyantları sunmak ve ABD ve Kanada'daki kuruluşlara karşı bilgi toplamak ve sunmak için kullandılar."
Şimdiye kadar gözlemlenen TrueBot operasyonlarının doğasına dayanarak, TrueBot'un arkasındaki tehdit aktörlerinin temel amacı, finansal kazanç için tehlikeye atılan sistemlerden hassas bilgileri çalmaktır.
Güvenlik ekiplerine, günümüz ortak danışmanlığında paylaşılan yönergeleri kullanarak bir trueBot enfeksiyonuna işaret eden kötü amaçlı etkinlik belirtileri avlamaları tavsiye edilir.
Kuruluşlarının ağı içinde herhangi bir uzlaşma göstergesini (IOC'ler) tespit ederlerse, hemen danışmanlıkta belirtilen hafifletme ve olay müdahale önlemlerini uygulamalı ve olayı CISA veya FBI'a bildirmelidirler.
Kuruluşunuz Netwrix'in BT sistemi denetim yazılımını kullanıyorsa, CVE-2022-31199 güvenlik açığını ele almak ve NetWrix Denetçisini Sürüm 10.5'e güncellemek için yamalar uygulamalısınız.
Tüm personel ve hizmetlerin kritik sistemlere erişimi engellemek için tüm personel ve hizmetler için kimlik avına dayanıklı çok faktörlü kimlik doğrulama (MFA) kullanmak da bu tür saldırıları yollarındaki durdurmanın iyi bir yoludur.
Netwrix, ürünlerinin Airbus, Allianz, İngiltere'nin NHS ve Virgin gibi yüksek profilli olanlar da dahil olmak üzere dünya çapında 13.000'den fazla kuruluş tarafından kullanıldığını söylüyor.
Büyüleyici kedi hackerları macOS için yeni 'Noknok' kötü amaçlı yazılım kullanıyor
Yeni ‘Big Head’ Fidye Yazılımı Sahte Windows Update uyarısı görüntüler
Cisa, govt ajanslarını aktif olarak sömürülen Android sürücüsüne yamaya uyarıyor
Zerobot kötü amaçlı yazılım artık Apache güvenlik açıklarından yararlanarak yayılıyor
Google Play'de 1.5m yüklü uygulamalar verilerinizi Çin'e gönderin
Kaynak: Bleeping Computer