Truebot Botnet IOCs - Part 2

botnet IOC

Команда VMware Carbon Black Managed Detection and Response (MDR) начала наблюдать всплеск активности TrueBot в мае 2023 года. TrueBot, также известный как Silence.Downloader, был замечен как минимум с 2017 года. TrueBot активно разрабатывается Silence, причем последние версии используют уязвимость Netwrix для доставки.

Хотя авторство этой вредоносной программы приписывается группе угроз под названием Silence Group, Group-IB связывает ее с российской компанией EvilCorp (Indrik Spider) из-за схожести используемых ими загрузчиков. Команда MDR изучила эту связь и не нашла существенных доказательств, подтверждающих это утверждение.

Исследователи решили, что EvilCorp связан с TrueBot из-за того, что TrueBot распространяет FlawedGrace. FlawedGrace - это вредоносная программа, которую приписывают EvilCorp. Хотя TrueBot сбрасывает эту полезную нагрузку, операторы вредоносной программы могли приобрести доступ к этому инструменту непосредственно у EvilCorp. Другая исследованная ссылка - TrueBot сбрасывает Clop Ransomware, которая ранее использовалась EvilCorp. Однако Clop является ransomware-as-a-service, поэтому любой желающий может приобрести доступ к этому инструменту. Наконец, Silence - это русскоязычная киберпреступная группа, которая использует российские услуги веб-хостинга. Хотя EvilCorp также является российской, это не является убедительным доказательством связи между ними, поскольку существуют десятки российских APT.

TrueBot может быть особенно опасной инфекцией для любой сети. Когда организация заражается этой вредоносной программой, она может быстро перерасти в более серьезную инфекцию, подобно тому, как ransomware распространяется по сети. Carbon Black способен быстро обнаружить TrueBot и связанную с ним активность и, с помощью MDR, обнаружить и локализовать его на ранних стадиях атаки до того, как угроза разрастется.

Indicators of Compromise

IPv4

  • 104.18.32.68
  • 172.64.155.188
  • 45.182.189.103
  • 94.142.138.61

Domains

  • Dremmfyttrred.com

SHA256

  • e8c342845a02608ecd1cca8ad409895bf530f6c2830b8af8b70a3d90e8b8d3da
  • fe746402c74ac329231ae1b5dffa8229b509f4c15a0f5085617f14f0c1579040
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий