网络安全研究人员披露,在2023年5月观察到TrueBot活动激增的情况。
"VMware的Fae Carlisle说:"TrueBot是一个下载器木马僵尸网络,它使用命令和控制服务器来收集被攻击系统的信息,并将被攻击系统作为进一步攻击的发起点。
TrueBot至少从2017年开始活跃,与一个被称为Silence的组织有关,据信该组织与被称为Evil Corp的臭名昭著的俄罗斯网络犯罪行为者有重叠之处。
最近的TrueBot感染利用了Netwrix auditor中的一个关键缺陷(CVE-2022-31199,CVSS评分:9.8)以及Raspberry Robin作为传递载体。
另一方面,VMware记录的攻击链从谷歌浏览器的一个名为 "update.exe "的可执行文件的驱动下载开始,表明用户被引诱以软件更新为借口下载恶意软件。
一旦运行,update.exe就会与位于俄罗斯的一个已知的TrueBot IP地址建立连接,以检索一个第二阶段的可执行文件("3ujwy2rz7v.exe"),随后使用Windows Command Prompt启动。
该可执行文件,就其本身而言,连接到一个命令和控制(C2)域,并从主机中渗出敏感信息。它还能够进行进程和系统枚举。
"TrueBot对任何网络来说都可能是一种特别讨厌的感染,"Carlisle说。"当一个组织被这种恶意软件感染时,它可以迅速升级成为更大的感染,类似于勒索软件在整个网络中的传播方式。"
这些发现是在SonicWall详细介绍了另一种被称为GuLoader(又名CloudEyE)的下载器恶意软件的新变体时得出的,该恶意软件被用来传递一系列的恶意软件,如Agent Tesla、Azorult和Remcos。
"在GuLoader的最新变种中,它引入了新的方式来引发异常,阻碍了完整的分析过程及其在受控环境下的执行," SonicWall说。
声明:本文相关资讯来自Thehackernews,版权归作者所有,转载目的在于传递更多信息。如有侵权,请联系本站删除。
