ClickCease Una nueva variante del malware TrueBot ataca a organizaciones de EE.UU.

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Una nueva variante del malware TrueBot ataca a organizaciones de EE.UU.

por

19 de Julio de 2023 - Equipo de RRPP de TuxCare

Una nueva variante del malware TrueBot se ha utilizado en ataques contra organizaciones de Estados Unidos y Canadá.

El malware se entrega a través de una vulnerabilidad de ejecución remota de código (RCE) en el software Netwrix Auditor, rastreada como CVE-2022-31199. Una vez instalado, el malware recopila información sobre el sistema infectado y la utiliza para llevar a cabo otras actividades maliciosas, como distribuir malware adicional o robar datos.

Una vez que el malware Truebot se ejecuta en un sistema, realiza varias acciones para identificar y explotar vulnerabilidades. Comprueba la versión del sistema operativo (SO) del sistema y la arquitectura del procesador, creando una identificación única para el sistema comprometido. Esta información se almacena como un archivo de nombre aleatorio de 13 caracteres con extensión .JSONIP en el directorio C:\ProgramData.

Además, el malware enumera todos los procesos en ejecución en el sistema, excluyendo una lista predefinida de procesos comunes de Windows. Los nombres de los procesos restantes se concatenan en una cadena codificada en base64, lo que permite a los atacantes llevar a cabo sus actividades maliciosas discretamente. Horas después de la infección inicial, se ha observado a Truebot inyectando balizas Cobalt Strike en la memoria. Las balizas permanecen en modo latente durante las primeras horas antes de iniciar operaciones adicionales.

Un informe conjunto publicado por Cybersecurity and Infrastructure Security Agency (CISA), el Federal Bureau of Investigation (FBI), el Multi-State Information Sharing and Analysis Center (MS-ISAC) y el Canadian Centre for Cyber Security (CCCS) recomienda a las organizaciones que busquen la actividad maliciosa siguiendo las orientaciones descritas en el CSA, así como aplicando los parches del proveedor a Netwrix Auditor (versión 10.5).

El informe conjunto también incluye un amplio conjunto de indicadores de compromiso (IOC) y reglas Yara que las organizaciones pueden utilizar para detectar la presencia del malware Truebot. Estos recursos ayudarán a identificar y neutralizar la amenaza, reforzando la seguridad de la red contra esta amenaza en evolución.

Las fuentes de este artículo incluyen un artículo en SecurityAffairs.

Resumen
Una nueva variante del malware TrueBot ataca a organizaciones de EE.UU.
Nombre del artículo
Una nueva variante del malware TrueBot ataca a organizaciones de EE.UU.
Descripción
Una nueva variante del malware TrueBot se ha utilizado en ataques contra organizaciones de Estados Unidos y Canadá.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

¡Ayúdenos a comprender
el panorama de Linux!

Complete nuestra encuesta sobre el estado del código abierto y podrá ganar uno de varios premios, ¡el máximo valorado en 500 dólares!

Su experiencia es necesaria para dar forma al futuro de Enterprise Linux.