I ricercatori di sicurezza informatica hanno segnalato un aumento delle infezioni da TrueBot, principalmente in Messico, Brasile, Pakistan e Stati Uniti. Cisco Talos ha dichiarato che gli aggressori dietro l’operazione sono passati dall’utilizzo di e-mail dannose a metodi di consegna alternativi, come lo sfruttamento di una falla di Netwrix Auditor, ora patchata, per l’esecuzione di codice remoto (RCE) e del worm Raspberry Robin. “L’attività successiva alla compromissione ha incluso il furto di dati e l’esecuzione del ransomware Clop”, ha dichiarato il ricercatore di sicurezza Tiago Pereira in un rapporto di giovedì. TrueBot è un downloader di malware per Windows attribuito a un attore di minacce rintracciato da Group-IB come Silence, un gruppo di lingua russa che si ritiene condivida associazioni con Evil Corp (alias DEV-0243) e TA505. Il modulo di primo livello funge da punto di ingresso per le successive attività di post-exploitation, tra cui il furto di informazioni utilizzando un’utility di esfiltrazione dati personalizzata finora sconosciuta, denominata Teleport, ha dichiarato la società di cybersicurezza. L’uso di Raspberry Robin – un worm che si diffonde principalmente attraverso unità USB infette – come vettore di trasmissione di TrueBot è stato recentemente evidenziato da Microsoft, che ha dichiarato che fa parte di un “ecosistema di malware complesso e interconnesso”.
Il malware Truebot
Come ulteriore segno di collaborazione con altre famiglie di malware, è stato osservato che Raspberry Robin distribuisce anche FakeUpdates (alias SocGholish) sui sistemi compromessi, portando infine a comportamenti simili a ransomware collegati a Evil Corp. Microsoft sta rintracciando gli operatori del malware basato su USB come DEV-0856 e gli attacchi ransomware Clop che avvengono tramite Raspberry Robin e TrueBot sotto il gruppo di minacce emergenti DEV-0950. “DEV-0950 utilizza tradizionalmente il phishing per acquisire la maggior parte delle vittime, quindi questo notevole passaggio all’utilizzo di Raspberry Robin consente loro di consegnare i payload alle infezioni esistenti e di spostare più rapidamente le loro campagne verso le fasi ransomware”, ha osservato il produttore di Windows nell’ottobre 2022. Le ultime scoperte di Cisco Talos mostrano che l’APT Silence ha condotto una piccola serie di attacchi tra metà agosto e settembre 2022 abusando di una vulnerabilità critica RCE in Netwrix auditor (CVE-2022-31199, punteggio CVSS: 9,8) per scaricare ed eseguire TrueBot. Il fatto che il bug sia stato utilizzato come arma solo un mese dopo la sua divulgazione pubblica da parte di Bishop Fox a metà luglio 2022 suggerisce che “gli aggressori non solo sono alla ricerca di nuovi vettori di infezione, ma sono anche in grado di testarli rapidamente e incorporarli nel loro flusso di lavoro”, ha detto Pereira. Le infezioni di TrueBot in ottobre, tuttavia, hanno comportato l’uso di un vettore di attacco diverso, ovvero Raspberry Robin, sottolineando la valutazione di Microsoft sul ruolo centrale del worm USB come piattaforma di distribuzione del malware. “Questi collegamenti [tra Silence, Raspberry Robin e Evil Corp] sono stati fatti sulla base dell’osservazione dei flussi di attacco”, ha dichiarato Pereira a The Hacker News. “Tuttavia, la nostra osservazione rafforza il collegamento che è stato fatto in precedenza da altri tra TrueBot e TA505 a causa della consegna del malware Grace, che è collegato a TA505”. La funzione principale di TrueBot è quella di raccogliere informazioni dall’host e distribuire payload di livello successivo, come Cobalt Strike, FlawedGrace e Teleport. A questo segue l’esecuzione del binario del ransomware dopo aver raccolto le informazioni rilevanti. Lo strumento di esfiltrazione dei dati Teleport si distingue anche per la sua capacità di limitare la velocità di upload e le dimensioni dei file, facendo sì che le trasmissioni non vengano rilevate dai software di monitoraggio. Inoltre, è in grado di cancellare la propria presenza dalla macchina. Un’analisi più approfondita dei comandi impartiti tramite Teleport rivela che il programma viene utilizzato esclusivamente per raccogliere file dalle cartelle OneDrive e Download, oltre che dai messaggi di posta elettronica Outlook della vittima. “La consegna del Raspberry Robin ha portato alla creazione di una botnet di oltre 1.000 sistemi distribuiti in tutto il mondo, ma con particolare attenzione a Messico, Brasile e Pakistan”, ha dichiarato Pereira. Gli aggressori, tuttavia, sembrano essere passati a un meccanismo di distribuzione sconosciuto, TrueBot, a partire da novembre; il vettore è riuscito a cooptare in una botnet oltre 500 server Windows rivolti a Internet situati negli Stati Uniti, in Canada e in Brasile.
