ClickCease Neue TrueBot-Malware-Variante greift US-amerikanische Organisationen an

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Neue TrueBot-Malware-Variante greift US-amerikanische Organisationen an

Juli 19, 2023 - TuxCare PR Team

Eine neue Variante der TrueBot-Malware wurde bei Angriffen auf Organisationen in den Vereinigten Staaten und Kanada eingesetzt.

Die Malware wird über eine RCE-Schwachstelle (Remote Code Execution) in der Netwrix Auditor-Software bereitgestellt, die als CVE-2022-31199 verfolgt wird. Sobald die Malware installiert ist, sammelt sie Informationen über das kompromittierte System und nutzt diese, um weitere bösartige Aktivitäten durchzuführen, wie z. B. die Verbreitung weiterer Malware oder den Diebstahl von Daten.

Sobald die Truebot-Malware auf einem System ausgeführt wird, führt sie verschiedene Aktionen durch, um Schwachstellen zu erkennen und auszunutzen. Sie prüft die Version des Betriebssystems (OS) und die Prozessorarchitektur des Systems und erstellt eine eindeutige Kennung für das kompromittierte System. Diese Informationen werden als zufällig benannte 13-Zeichen-Datei mit der Erweiterung .JSONIP im Verzeichnis C:\ProgramData gespeichert.

Darüber hinaus zählt die Malware alle auf dem System laufenden Prozesse auf, mit Ausnahme einer vordefinierten Liste gängiger Windows-Prozesse. Die verbleibenden Prozessnamen werden zu einer base64-kodierten Zeichenfolge verkettet, die es den Angreifern ermöglicht, ihre bösartigen Aktivitäten unauffällig durchzuführen. Stunden nach der ersten Infektion wurde Truebot dabei beobachtet, wie er Cobalt Strike Beacons in den Speicher injizierte. Die Beacons bleiben in den ersten Stunden in einem Ruhemodus, bevor sie weitere Aktionen starten.

Ein gemeinsamer Bericht, der von der Cybersecurity and Infrastructure Security Agency (CISA), dem Federal Bureau of Investigation (FBI), dem Multi-State Information Sharing and Analysis Center (MS-ISAC) und dem Canadian Centre for Cyber Security (CCCS) veröffentlicht wurde, empfiehlt Unternehmen, die böswilligen Aktivitäten anhand der in der CSA beschriebenen Anleitungen aufzuspüren und Hersteller-Patches für Netwrix Auditor (Version 10.5) anzuwenden.

Der gemeinsame Bericht enthält auch einen umfassenden Satz von Kompromissindikatoren (Indicators of Compromise, IOCs) und Yara-Regeln, die Unternehmen nutzen können, um das Vorhandensein der Truebot-Malware zu erkennen. Diese Ressourcen helfen dabei, die Bedrohung zu identifizieren und zu neutralisieren und die Netzwerksicherheit gegen diese sich entwickelnde Bedrohung zu erhöhen.

Zu den Quellen für diesen Beitrag gehört ein Artikel in SecurityAffairs.

Zusammenfassung
Neue TrueBot-Malware-Variante greift US-amerikanische Organisationen an
Artikel Name
Neue TrueBot-Malware-Variante greift US-amerikanische Organisationen an
Beschreibung
Eine neue Variante der TrueBot-Malware wurde bei Angriffen auf Organisationen in den Vereinigten Staaten und Kanada eingesetzt.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter