Les chercheurs en cybersécurité ont signalé une augmentation des infections TrueBot, ciblant principalement le Mexique, le Brésil, le Pakistan et les États-Unis.

Cisco Talos a déclaré que les attaquants à l’origine de l’opération sont passés de l’utilisation d’e-mails malveillants à des méthodes de livraison alternatives telles que l’exploitation d’une faille d’exécution de code à distance (RCE) désormais corrigée dans l’auditeur Netwrix ainsi que le ver Raspberry Robin.

« Les activités post-compromis comprenaient le vol de données et l’exécution du rançongiciel Clop », a déclaré le chercheur en sécurité Tiago Pereira dans un rapport jeudi.

TrueBot est un téléchargeur de logiciels malveillants Windows attribué à un acteur malveillant suivi par Group-IB sous le nom de Silence, une équipe russophone censée partager des associations avec Evil Corp (alias DEV-0243) et TA505.

Le module de la première étape fonctionne comme un point d’entrée pour les activités de post-exploitation ultérieures, y compris le vol d’informations à l’aide d’un utilitaire d’exfiltration de données personnalisé jusqu’ici inconnu appelé Teleport, a déclaré la société de cybersécurité.

L’utilisation de Raspberry Robin – un ver se propageant principalement via des clés USB infectées – comme vecteur de livraison pour TrueBot a été récemment mise en évidence par Microsoft, qui, selon elle, fait partie d’un « écosystème de logiciels malveillants complexe et interconnecté ».

Dans ce qui est un autre signe de collaboration étroite avec d’autres familles de logiciels malveillants, Raspberry Robin a également été observé en train de déployer FakeUpdates (alias SocGholish) sur des systèmes compromis, conduisant finalement à un comportement de type rançongiciel lié à Evil Corp.

Microsoft suit les opérateurs du logiciel malveillant basé sur USB sous le nom de DEV-0856 et les attaques de ransomware Clop qui se produisent via Raspberry Robin et TrueBot sous le cluster de menaces émergentes DEV-0950.

« DEV-0950 utilise traditionnellement le phishing pour acquérir la majorité de ses victimes, donc ce passage notable à l’utilisation de Raspberry Robin leur permet de fournir des charges utiles aux infections existantes et de faire passer leurs campagnes plus rapidement aux stades des ransomwares », a noté le fabricant de Windows en octobre 2022.

Les dernières découvertes de Cisco Talos montrent que Silence APT a mené une petite série d’attaques entre la mi-août et septembre 2022 en abusant d’une vulnérabilité RCE critique dans l’auditeur Netwrix (CVE-2022-31199, score CVSS : 9,8) pour télécharger et exécuter TrueBot.

Le fait que le bogue ait été militarisé un mois seulement après sa révélation publique par l’évêque Fox à la mi-juillet 2022 suggère que « les attaquants ne sont pas seulement à la recherche de nouveaux vecteurs d’infection, mais sont également capables de les tester rapidement et de les incorporer dans leur flux de travail », a déclaré Pereira.

Cependant, les infections TrueBot en octobre impliquaient l’utilisation d’un vecteur d’attaque différent – c’est-à-dire Raspberry Robin – soulignant l’évaluation de Microsoft sur le rôle central du ver USB en tant que plate-forme de distribution de logiciels malveillants.

« Ces connexions [entre Silence, Raspberry Robin et Evil Corp] sont établies sur la base de l’observation des flux d’attaques », a déclaré Pereira à The Hacker News. « Cependant, notre observation renforce la connexion qui a déjà été établie par d’autres entre TrueBot et TA505 en raison de la livraison du malware Grace, qui est lié à TA505. »

La fonction principale de TrueBot est de collecter des informations auprès de l’hôte et de déployer les charges utiles de la prochaine étape telles que Cobalt Strike, FlawedGrace et Teleport. Ceci est suivi par l’exécution du binaire du rançongiciel après avoir collecté les informations pertinentes.

L’outil d’exfiltration de données Teleport se distingue également par sa capacité à limiter les vitesses de téléchargement et la taille des fichiers, empêchant ainsi les transmissions d’être détectées par le logiciel de surveillance. En plus de cela, il peut effacer sa propre présence de la machine.

Un examen plus approfondi des commandes émises via Teleport révèle que le programme est exclusivement utilisé pour collecter des fichiers à partir des dossiers OneDrive et Téléchargements ainsi que les messages électroniques Outlook de la victime.

« La livraison de Raspberry Robin a conduit à la création d’un botnet de plus de 1 000 systèmes distribués dans le monde entier, mais avec un accent particulier sur le Mexique, le Brésil et le Pakistan », a déclaré Pereira.

Les attaquants, cependant, semblent être passés à un mécanisme de distribution TrueBot inconnu à partir de novembre, le vecteur réussissant à coopter plus de 500 serveurs Windows connectés à Internet situés aux États-Unis, au Canada et au Brésil dans un botnet.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *