Une nouvelle variante du logiciel malveillant TrueBot s'attaque aux organisations américaines
Une nouvelle variante du logiciel malveillant TrueBot a été utilisée dans des attaques contre des organisations aux États-Unis et au Canada.
Le logiciel malveillant est diffusé via une vulnérabilité d'exécution de code à distance (RCE) dans le logiciel Netwrix Auditor, répertoriée sous la référence CVE-2022-31199. Une fois le logiciel malveillant installé, il recueille des informations sur le système compromis et les utilise pour mener d'autres activités malveillantes, telles que la diffusion d'autres logiciels malveillants ou le vol de données.
Une fois que le logiciel malveillant Truebot est exécuté sur un système, il effectue diverses actions pour identifier et exploiter les vulnérabilités. Il vérifie la version du système d'exploitation (OS) et l'architecture du processeur, créant ainsi une identification unique pour le système compromis. Ces informations sont stockées sous la forme d'un fichier de 13 caractères nommé de manière aléatoire et portant l'extension .JSONIP dans le répertoire C:\ProgramData.
En outre, le logiciel malveillant énumère tous les processus en cours d'exécution sur le système, à l'exception d'une liste prédéfinie de processus Windows courants. Les noms des processus restants sont concaténés en une chaîne codée en base64, ce qui permet aux attaquants de mener leurs activités malveillantes en toute discrétion. Quelques heures après l'infection initiale, Truebot a été observé en train d'injecter des balises Cobalt Strike dans la mémoire. Les balises restent en mode dormant pendant les premières heures avant de lancer d'autres opérations.
Un rapport conjoint publié par la Cybersecurity and Infrastructure Security Agency (CISA), le Federal Bureau of Investigation (FBI), le Multi-State Information Sharing and Analysis Center (MS-ISAC) et le Centre canadien de cybersécurité (CCCS) recommande aux organisations de faire la chasse aux activités malveillantes en suivant les recommandations de la CSA et en appliquant les correctifs du fournisseur à Netwrix Auditor (version 10.5).
Le rapport conjoint comprend également un ensemble complet d'indicateurs de compromission (IOC) et de règles Yara que les organisations peuvent utiliser pour détecter la présence du logiciel malveillant Truebot. Ces ressources permettront d'identifier et de neutraliser la menace, renforçant ainsi la sécurité des réseaux face à cette menace en constante évolution.
Les sources de cet article comprennent un article de SecurityAffairs.