ClickCease 미국 조직을 공격하는 새로운 트루봇 멀웨어 변종

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

미국 조직을 공격하는 새로운 트루봇 멀웨어 변종

2023년 7월 19일 TuxCare 홍보팀

미국과 캐나다의 조직을 대상으로 한 공격에 새로운 변종 TrueBot 멀웨어가 사용되었습니다.

이 멀웨어는 CVE-2022-31199로 추적되는 Netwrix Auditor 소프트웨어의 원격 코드 실행(RCE) 취약점을 통해 전달됩니다. 멀웨어가 설치되면 손상된 시스템에 대한 정보를 수집하고 이를 사용하여 추가 멀웨어를 전달하거나 데이터를 훔치는 등 다른 악의적인 활동을 수행합니다.

트루봇 멀웨어가 시스템에서 실행되면 취약점을 식별하고 악용하기 위해 다양한 작업을 수행합니다. 시스템의 운영 체제(OS) 버전과 프로세서 아키텍처를 확인하여 손상된 시스템에 대한 고유 식별 정보를 생성합니다. 이 정보는 C:\ProgramData 디렉터리에 확장자가 .JSONIP인 무작위로 명명된 13자 파일로 저장됩니다.

또한 이 악성 코드는 미리 정의된 일반적인 Windows 프로세스 목록을 제외하고 시스템에서 실행 중인 모든 프로세스를 열거합니다. 나머지 프로세스 이름은 Base64로 인코딩된 문자열로 연결되어 공격자가 악의적인 활동을 은밀하게 수행할 수 있도록 합니다. 최초 감염 후 몇 시간 후, 트루봇은 코발트 스트라이크 비콘을 메모리에 주입하는 것이 관찰되었습니다. 비콘은 추가 작업을 시작하기 전 처음 몇 시간 동안 휴면 모드로 유지됩니다.

사이버 보안 및 인프라 보안 기관(CISA), 연방 수사국(FBI), 다주 정보 공유 및 분석 센터(MS-ISAC), 캐나다 사이버 보안 센터(CCCS)에서 발행한 공동 보고서에 따르면 조직은 CSA에 설명된 지침을 사용하여 악성 활동을 추적하고 Netwrix Auditor(버전 10.5)에 공급업체 패치를 적용할 것을 권장하고 있습니다.

또한 공동 보고서에는 조직이 트루봇 멀웨어의 존재를 탐지하는 데 활용할 수 있는 포괄적인 침해 지표(IOC)와 야라 규칙이 포함되어 있습니다. 이러한 리소스는 위협을 식별하고 무력화하여 진화하는 이 위협에 대한 네트워크 보안을 강화하는 데 도움이 될 것입니다.

이 글의 출처는 SecurityAffairs의 기사입니다.

요약
미국 조직을 공격하는 새로운 트루봇 멀웨어 변종
기사 이름
미국 조직을 공격하는 새로운 트루봇 멀웨어 변종
설명
미국과 캐나다의 조직을 대상으로 한 공격에 새로운 변종 TrueBot 멀웨어가 사용되었습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기