
La CISA et le FBI ont mis en garde aujourd’hui contre de nouvelles variantes de logiciels malveillants Truebot déployées sur des réseaux compromis à l’aide d’une vulnérabilité critique d’exécution de code à distance (RCE) dans le logiciel Netwrix Auditor lors d’attaques ciblant des organisations aux États-Unis et au Canada.
Le bogue (suivi comme CVE-2022-31199) affecte le serveur Netwrix Auditor et les agents installés sur les systèmes de réseau surveillés et permet à des attaquants non autorisés d’exécuter du code malveillant avec les privilèges de l’utilisateur SYSTEM.
TrueBot est un téléchargeur de logiciels malveillants lié au groupe cybercriminel russophone Silence et utilisé par les pirates TA505 (associés au groupe FIN11) pour déployer le rançongiciel Clop sur des réseaux compromis depuis décembre 2022.
Après avoir installé TrueBot sur des réseaux piratés, les attaquants installent le cheval de Troie d’accès à distance FlawedGrace (RAT), également lié au groupe TA505, qui leur permet d’élever les privilèges et d’établir la persistance sur les systèmes piratés.
Quelques heures après la violation initiale, ils déploieront également des balises Cobalt Strike qui pourraient ensuite être utilisées pour diverses tâches de post-exploitation, y compris le vol de données et la suppression d’autres charges utiles de logiciels malveillants telles que les ransomwares.
« Les précédentes variantes de logiciels malveillants Truebot étaient principalement diffusées par des acteurs de la cyber-menace via des pièces jointes d’e-mails de phishing malveillants ; cependant, les nouvelles versions permettent également aux acteurs de la cyber-menace d’obtenir un accès initial en exploitant CVE-2022-31199 », ont déclaré les deux agences fédérales dans un rapport conjoint avec MS-ISAC et le Centre canadien pour la cybersécurité.
« Pas plus tard qu’en mai 2023, les acteurs de la cybermenace ont utilisé cette vulnérabilité et cette exposition communes pour fournir de nouvelles variantes de logiciels malveillants Truebot et pour collecter et exfiltrer des informations contre des organisations aux États-Unis et au Canada.
Sur la base de la nature des opérations Truebot observées jusqu’à présent, l’objectif principal des acteurs de la menace derrière Truebot est de voler des informations sensibles des systèmes compromis pour un gain financier.
Il est conseillé aux équipes de sécurité de rechercher les signes d’activité malveillante indiquant une infection Truebot en utilisant les directives partagées dans l’avis conjoint d’aujourd’hui.
S’ils détectent des indicateurs de compromission (IOC) au sein du réseau de leur organisation, ils doivent immédiatement mettre en œuvre les mesures d’atténuation et de réponse aux incidents décrites dans l’avis et signaler l’incident à CISA ou au FBI.
Si votre organisation utilise le logiciel d’audit de système informatique de Netwrix, vous devez appliquer des correctifs pour corriger la vulnérabilité CVE-2022-31199 et mettre à jour Netwrix Auditor vers la version 10.5.
L’utilisation de l’authentification multifacteur (MFA) résistante au phishing pour tout le personnel et les services afin de bloquer l’accès aux systèmes critiques est également un bon moyen d’arrêter ces attaques dans leur élan.
Netwrix affirme que ses produits sont utilisés par plus de 13 000 organisations dans le monde, y compris des entreprises de premier plan comme Airbus, Allianz, le NHS britannique et Virgin.