Truebot恶意软件袭击：对美加组织的威胁

重点摘要

美国和加拿大的组织正面临新版本的
的攻击，这些木马被调整为利用NetwrixAuditor软件中的一个关键远程代码执行（RCE）漏洞。此次攻击受到CISA、FBI、MS-ISAC及CCCS的联合警告，提醒各组织密切关注此风险。

近期的Truebot攻击浪潮促使相关机构于周四发布了一份。这份警告中提到，网络威胁行为者在5月31日之前对该僵尸网络的使用有所增加。

Truebot（也称为Silence.Downloader）与俄罗斯的一个威胁行动“Silence”有关联，后者与EvilCorp及TA505威胁集团有联系。最近，著名的
也曾利用Truebot从受害者处窃取数据。

警告中指出，Truebot变种以往主要通过恶意钓鱼邮件附件传播，而近期的新版本可通过利用NetwrixAuditor中的RCE漏洞获取对受损系统的访问权限。该漏洞的编号为
，CVSSv3评分为9.8，已于2022年6月修复。

在这份警告中，四个机构表示，威胁行为者正在利用Netwrix Auditor漏洞和带有恶意重定向超链接的钓鱼活动来传播新的Truebot变种。

报告中指出：“攻击者还被观察到将电子邮件附件（可执行文件）伪装成看似合法的软件更新通知。”

用户在与可执行文件交互后，将被重定向到恶意网页域，随即执行脚本文件。虽然这种方式仍然是主要的传播手段，但黑客已经“转变策略”，开始利用NetwrixAuditor的RCE漏洞。

“通过利用这个CVE，网络威胁行为者不仅获得初始访问权限，还能在受损网络内侧移。”

警告中提到，“下载恶意文件成功后，Truebot会重命名自身并在主机上加载FlawedGrace。”
FlawedGrace是一种远程访问工具（RAT），可以通过自定义二进制协议使用443端口从命令与控制服务器接收命令，以部署其他工具。

“通常在Truebot执行阶段后的几小时，网络威胁行为者会被观察到部署包含Cobalt Strike信标的其他负载，以实现持久控制和数据窃取。”
是一种用于攻击模拟的红队渗透测试工具，其破解版本在威胁行为者中越来越流行。

“网络威胁行为者利用Cobalt Strike通过远程服务会话劫持进行横向移动，收集有效凭证，或创建本地管理员账户以实现哈希传递替代身份验证。”

此外，作为一种具有蠕虫特性的恶意软件，也在Truebot攻击中被观察到。

“RaspberryRobin已经演变为最大的恶意软件分发平台之一，已被观察到在部署Truebot的同时，还分发其他后续负载，如IcedID和Bumblebee恶意软件。”

撰写警告的机构提供了一系列降低Truebot攻击风险的建议，包括要求所有员工和服务使用抗钓鱼的多因素身份验证（MFA）。

此外，警告中还包含了妥善保护自身的指标和检测规则，以帮助组织应对新的活动。

为了减少Netwrix Auditor用户因新变种Truebot而面临的风险，