利用Netwrix Auditor Bug和树莓罗宾蠕虫的新TrueBot恶意软件变体

网络安全研究人员报告特鲁埃博感染，主要针对墨西哥、巴西、巴基斯坦和美国。

Cisco Talos表示，该操作背后的攻击者已从使用恶意电子邮件转向其他交付方法，例如利用Netwrix审计员中的一个现已修补的远程代码执行（RCE）漏洞以及树莓罗宾蠕虫。

安全研究员蒂亚戈·佩雷拉（Tiago Pereira）在周四的一份报告中表示：“泄密后的活动包括数据盗窃和Clop勒索软件的执行”。

TrueBot是一个Windows恶意软件下载者，被IB组追踪为Silence，一个讲俄语的工作人员，据信与Evil Corp（又名DEV-0243）和TA505有关联。

这家网络安全公司表示，第一阶段模块作为后续开发后活动的切入点，包括使用迄今为止未知的自定义数据过滤工具Teleport窃取信息。

树莓罗宾的使用；蠕虫主要通过受感染的USB驱动器传播；作为TrueBot的一个交付载体，微软最近强调了这一点，并称其是“复杂且相互关联的恶意软件生态系统”的一部分。

Raspberry Robin还被观察到在被破坏的系统上部署FakeUpdates（又名SocGholish），最终导致类似勒索软件的行为与邪恶公司（Evil Corp.）有关，这是与其他恶意软件家族勾结的进一步迹象。

微软正在追踪基于USB的恶意软件DEV-0856的运营商，以及通过树莓罗宾和TrueBot在新兴威胁集群DEV-0950下发生的Clop勒索软件攻击。

这位Windows制造商在2022年10月指出：“DEV-0950传统上使用网络钓鱼来获取大多数受害者，因此使用树莓罗宾的这一显著转变使他们能够向现有感染提供有效载荷，并更快地将其活动转移到勒索软件阶段”。

Cisco Talos的最新发现表明，沉默APT在2022年8月中旬至9月期间，通过滥用Netwrix审计员（CVE-2022-31199，CVSS评分：9.8）中的关键RCE漏洞下载并运行TrueBot，实施了一系列攻击。

佩雷拉说，2022年7月中旬，毕晓普·福克斯（Bishop Fox）公开披露了该病毒后仅一个月，该病毒就被武器化，这一事实表明，“攻击者不仅在寻找新的感染媒介，而且能够快速检测它们，并将其纳入工作流程”。

然而，10月份的TrueBot感染需要使用不同的攻击向量；i、 e.树莓罗宾；强调了微软对USB蠕虫作为恶意软件分发平台的核心作用的评估。

佩雷拉告诉《黑客新闻》：“（沉默、树莓罗宾和邪恶集团之间的）这些联系是基于对攻击流的观察”。“然而，我们的观察加强了其他人先前在TrueBot和TA505之间建立的联系，因为传送了与TA505相关的Grace恶意软件”。

TrueBot的主要功能是从主机收集信息并部署下一阶段的有效载荷，如Cobalt Strike、FlawedGrace和Teleport。然后在获取相关信息后执行勒索软件二进制文件。

Teleport数据过滤工具还以其限制上传速度和文件大小的能力而闻名，从而导致监控软件无法检测到传输。最重要的是，它可以从机器上抹去自己的存在。

仔细查看通过Teleport发出的命令可以发现，该程序仅用于从OneDrive和Downloads文件夹以及受害者的Outlook电子邮件中收集文件。

佩雷拉说：“树莓罗宾的交付导致了一个由1000多个系统组成的僵尸网络，分布在世界各地，但特别关注墨西哥、巴西和巴基斯坦”。

然而，攻击者似乎已经从11月开始转向未知的TrueBot分发机制，该载体成功地将位于美国、加拿大和巴西的500多台互联网Windows服务器整合为僵尸网络。