Агентство по кибербезопасности и защите инфраструктуры (CISA), Федеральное бюро расследований (ФБР), Многоштатный центр обмена информацией и анализа (MS-ISAC) и Канадский центр кибербезопасности (CCCS) выпускают это совместное информационное сообщение по кибербезопасности (CSA) в ответ на использование субъектами киберугроз новых выявленных вариантов вредоносного ПО Truebot против организаций в США и Канаде.
Начиная с 31 мая 2023 года, организации-авторы наблюдали увеличение числа субъектов киберугроз, использующих новые варианты вредоносного ПО Truebot (также известного как Silence.Downloader).
Truebot - это ботнет, который использовался вредоносными кибергруппами, такими как CL0P Ransomware Gang, для сбора и утечки информации от своих жертв.
Предыдущие варианты вредоносного ПО Truebot в основном доставлялись субъектами киберугроз через вредоносные фишинговые вложения электронной почты; однако новые версии позволяют субъектам киберугроз также получить первоначальный доступ через эксплуатацию CVE-2022-31199 (уязвимость удаленного выполнения кода в приложении Netwrix Auditor), что позволяет развернуть вредоносное ПО в масштабах скомпрометированной среды. Основываясь на данных из открытых источников и аналитических данных о вариантах Truebot, организации-авторы считают, что субъекты киберугроз используют как фишинговые кампании с вредоносными гиперссылками, так и CVE-2022-31199 для распространения новых вариантов вредоносного ПО Truebot.
Indicators of Compromise
IPv4
- 139.60.160.166
- 179.60.150.139
- 193.3.19.173
- 45.182.189.103
- 45.182.189.119
- 45.182.189.120
- 45.182.189.228
- 45.182.189.229
- 45.182.189.71
- 45.182.189.91
- 45.227.253.102
- 46.161.40.128
- 5.188.206.78
- 5.188.86.18
- 81.19.135.30
- 88.214.27.100
- 88.214.27.101
- 92.118.36.199
- 92.118.36.213
- 92.118.36.252
- 94.142.138.61
Domains
- Atexec.py
- ber6vjyb.com
- bluespiredice.com
- dragonetzone.com
- dremmfyttrred.com
- Ecorfan.org
- Essadonio.com
- fuanshizmo.com
- guerdofest.com
- hiperfdhaus.com
- Hrcbishtek.com
- jirostrogud.com
- midnigthwaall.com
- ms-online-store.com
- nefosferta.com
- nitutdra.com
- nomoresense.com
- qweastradoc.com
- romidonionhhgtt.com
- ronoliffuion.com
- rprotecruuio.com
URLs
- http://nefosferta.com/gate.php
- http://qweastradoc.com/gate.php
- https://ber6vjyb.com/dns.php
- https://corporacionhardsoft.com/images/2/Document_16654.exe
- https://dragonetzone.com/gate_info.php
MD5
- 6164e9d297d29aa8682971259da06848
- 72a589da586844d7f0818ce684948eea
- a0e9f5d64349fb13191bc781f81f42e1
- f14f2862ee2df5d0f63a88b60c8eee56
- f176ba63b4d68e576b5ba345bec2c7b7
- f33734dfbbff29f68bcde052e523c287
SHA256
- 092910024190a2521f21658be849c4ac9ae6fa4d5f2ecd44c9055cc353a26875
- 0e3a14638456f4451fe8d76fdc04e591fba942c2f16da31857ca66293a58a4c3
- 121a1f64fff22c4bfcef3f11a23956ed403cdeb9bdb803f9c42763087bd6d94e
- 1ef8cdbd3773bd82e5be25d4ba61e5e59371c6331726842107c0f1eb7d4d1f49
- 22e3f4602a258e92a0b8deb5a2bd69c67f4ac3ca67362a745178848a9da7a3cc
- 2d50b03a92445ba53ae147d0b97c494858c86a56fe037c44bc0edabb902420f7
- 32ae88cddeeeec255d6d9c827f6bffc7a95e9ea7b83a84a79ff793735a4b4ed7
- 36d89f0455c95f9b00a8cea843003d0b53c4e33431fe57b5e6ec14a6c2e00e99
- 47f962063b42de277cd8d22550ae47b1787a39aa6f537c5408a59b5b76ed0464
- 4862618fcf15ba4ad15df35a8dcb0bdb79647b455fea6c6937c7d050815494b0
- 55d1480cd023b74f10692c689b56e7fd6cc8139fb6322762181daead55a62b9e
- 594ade1fb42e93e64afc96f13824b3dbd942a2cdbc877a7006c248a38425bbc1
- 5cc8c9f2c9cee543ebac306951e30e63eff3ee103c62dadcd2ce43ef68bc7487
- 6210a9f5a5e1dc27e68ecd61c092d2667609e318a95b5dade3c28f5634a89727
- 68a86858b4638b43d63e8e2aaec15a9ebd8fc14d460dd74463db42e59c4c6f89
- 6b646641c823414c2ee30ae8b91be3421e4f13fa98e2d99272956e61eecfc5a1
- 717beedcd2431785a0f59d194e47970e9544fbf398d462a305f6ad9a1b1100cb
- 72813522a065e106ac10aa96e835c47aa9f34e981db20fa46a8f36c4543bb85d
- 7a64bc69b60e3cd3fd00d4424b411394465640f499e56563447fe70579ccdd00
- 7c607eca4005ba6415e09135ef38033bb0b0e0ff3e46d60253fc420af7519347
- 7c79ec3f5c1a280ffdf19d0000b4bfe458a3b9380c152c1e130a89de3fe04b63
- 7d75244449fb5c25d8f196a43a6eb9e453652b2185392376e7d44c21bd8431e7
- 7e39dcd15307e7de862b9b42bf556f2836bf7916faab0604a052c82c19e306ca
- 80b9c5ec798e7bbd71bbdfffab11653f36a7a30e51de3a72c5213eafe65965d9
- 97bae3587f1d2fd35f24eb214b9dd6eed95744bed62468d998c7ef55ff8726d4
- 97d0844ce9928e32b11706e06bf2c4426204d998cb39964dd3c3de6c5223fff0
- a30e1f87b78d1cd529fbe2afdd679c8241d3baab175b2f083740263911a85304
- a67df0a8b32bdc5f9d224db118b3153f66518737e702314873b673c914b2bb5c
- b95a764820e918f42b664f3c9a96141e2d7d7d228da0edf151617fabdd9166cf
- bf3c7f0ba324c96c9a9bff6cf21650a4b78edbc0076c68a9a125ebcba0e523c9
- c042ad2947caf4449295a51f9d640d722b5a6ec6957523ebf68cddb87ef3545c
- c0f8aeeb2d11c6e751ee87c40ee609aceb1c1036706a5af0d3d78738b6cc4125
- c3743a8c944f5c9b17528418bf49b153b978946838f56e5fca0a3f6914bee887
- c3b3640ddf53b26f4ebd4eedf929540edb452c413ca54d0d21cc405c7263f490
- c6c4f690f0d15b96034b4258bdfaf797432a3ec4f73fbc920384d27903143cb0
- c92c158d7c37fea795114fa6491fe5f145ad2f8c08776b18ae79db811e8e36a3
- c9b874d54c18e895face055eeb6faa2da7965a336d70303d0bd6047bec27a29d
- d5bbcaa0c3eeea17f12a5cc3dbcaffff423d00562acb694561841bcfe984a3b7
- e0178ab0893a4f25c68ded11e74ad90403443e413413501d138e0b08a910471e
- ed38c454575879c2546e5fccace0b16a701c403dfe3c3833730d23b32e41f2fe
- f9f649cb5de27f720d58aa44aec6d0419e3e89f453730e155067506ad3ece638
- fe746402c74ac329231ae1b5dffa8229b509f4c15a0f5085617f14f0c1579040
- ff8c8c8bfba5f2ba2f8003255949678df209dbff95e16f2f3c338cfa0fd1b885