С августа 2022 года Cisco Talos наблюдала увеличение числа заражений вредоносной программой Truebot (она же Silence.Downloader). Truebot был впервые обнаружен в 2017 году, и исследователи связали его с угрожающим субъектом под названием Silence Group, который несет ответственность за несколько высокоэффективных атак на финансовые учреждения в нескольких странах мира.
Другие исследователи утверждают, что эта группа связана с известным угрожающим актором TA505 (он же Evil Corp). В ходе исследования обнаружили, что одной из новых последующих полезных нагрузок, рассылаемых Truebot, является вредоносная программа Grace (она же FlawedGrace и GraceWire), которая приписывается TA505, что еще больше подтверждает эти утверждения.
В последнее время злоумышленники перешли от использования вредоносных писем в качестве основного способа доставки к другим методам. В августе мы наблюдали небольшое количество атак, которые использовали недавнюю уязвимость удаленного выполнения кода в аудиторе Netwrix. В октябре большее число заражений использовало в качестве вектора доставки Raspberry Robin, недавно распространившуюся через USB-накопители вредоносную программу. Мы с умеренной уверенностью считаем, что в ноябре злоумышленники начали использовать еще один способ распространения вредоносного ПО.
Посткомпрометирующая активность включала кражу данных и исполнение вымогательского ПО Clop. В ходе расследования одной из таких атак мы обнаружили, что, похоже, это полнофункциональный пользовательский инструмент для эксфильтрации данных, который мы назвали "Teleport" и который активно использовался для кражи информации во время атаки.
На данный момент мы выявили две различные бот-сети Truebot. Одна из них распространена по всему миру, но особое внимание уделяется Мексике, Пакистану и Бразилии. Вторая, более новая бот-сеть, похоже, сосредоточена на США. Хотя у нас недостаточно информации, чтобы сказать, что она сосредоточена на каком-то секторе, мы заметили ряд взломанных организаций сектора образования.
Indicators of Compromise
IPv4
- 45.227.253.102
URLs
- http://179.60.150.34:80/download/file.ext
- http://179.60.150.53:80/download/GoogleUpdate.dll
- http://179.60.150.53:80/download/msruntime.dll
- http://185.55..243.110/gate.php
- http://88.214.27.100/gate.php
- http://88.214.27.101/gate.php
- http://gbpooolfhbrb.com/gate.php
- http://hiperfdhaus.com/gate.php
- http://jirostrogud.com/gate.php
- http://nefosferta.com/gate.php
- http://tddshht.com/chkds.dll
SHA256
- 092910024190a2521f21658be849c4ac9ae6fa4d5f2ecd44c9055cc353a26875
- 1ef8cdbd3773bd82e5be25d4ba61e5e59371c6331726842107c0f1eb7d4d1f49
- 27b6e71b4adeada41fb1e411a910872bfad999183d9d43ba6e63602e104d357b
- 2d50b03a92445ba53ae147d0b97c494858c86a56fe037c44bc0edabb902420f7
- 55d1480cd023b74f10692c689b56e7fd6cc8139fb6322762181daead55a62b9e
- 58b671915e239e9682d50a026e46db0d775624a61a56199f7fd576b0cef4564d
- 6210a9f5a5e1dc27e68ecd61c092d2667609e318a95b5dade3c28f5634a89727
- 68a86858b4638b43d63e8e2aaec15a9ebd8fc14d460dd74463db42e59c4c6f89
- 72813522a065e106ac10aa96e835c47aa9f34e981db20fa46a8f36c4543bb85d
- 7a64bc69b60e3cd3fd00d4424b411394465640f499e56563447fe70579ccdd00
- 7c79ec3f5c1a280ffdf19d0000b4bfe458a3b9380c152c1e130a89de3fe04b63
- 7e39dcd15307e7de862b9b42bf556f2836bf7916faab0604a052c82c19e306ca
- 80b9c5ec798e7bbd71bbdfffab11653f36a7a30e51de3a72c5213eafe65965d9
- 97d0844ce9928e32b11706e06bf2c4426204d998cb39964dd3c3de6c5223fff0
- b95a764820e918f42b664f3c9a96141e2d7d7d228da0edf151617fabdd9166cf
- bf3c7f0ba324c96c9a9bff6cf21650a4b78edbc0076c68a9a125ebcba0e523c9
- c3743a8c944f5c9b17528418bf49b153b978946838f56e5fca0a3f6914bee887
- c3b3640ddf53b26f4ebd4eedf929540edb452c413ca54d0d21cc405c7263f490
- c6c4f690f0d15b96034b4258bdfaf797432a3ec4f73fbc920384d27903143cb0
- dd94c2fc46a6670b4600cf439b35dc81a401b09d2c2372139afe7b754d1d24d4