CISA

CISA と FBI は本日、米国とカナダ全土の組織を標的とした攻撃において、Netwrix Auditor ソフトウェアの重大なリモート コード実行 (RCE) の脆弱性を利用して侵害されたネットワーク上に展開された新しい Truebot マルウェアの亜種について警告しました。

このバグ ( CVE-2022-31199として追跡) は、Netwrix Auditor サーバーと監視対象のネットワーク システムにインストールされているエージェントに影響を与え、無許可の攻撃者が SYSTEM ユーザーの権限で悪意のあるコードを実行できるようにします。

TrueBot は、ロシア語を話すサイバー犯罪グループ Silence に関連するマルウェア ダウンローダーであり、2022 年 12 月以降、侵害されたネットワークにClop ランサムウェアを展開するためにTA505 ハッカー (FIN11 グループに関連) によって使用されています。

攻撃者は、侵害されたネットワークに TrueBot をインストールした後、同じく TA505 グループにリンクされている FlawedGrace リモート アクセス トロイの木馬 (RAT) をインストールします。これにより、攻撃者は権限を昇格させ、ハッキングされたシステム上で永続性を確立することができます。

最初の侵害から数時間後には、Cobalt Strike ビーコンも配備され、データの盗難やランサムウェアなどのさらなるマルウェア ペイロードの投下など、その後のさまざまなエクスプロイト後のタスクに使用される可能性があります。

「以前の Truebot マルウェア亜種は、主に悪意のあるフィッシングメールの添付ファイルを介してサイバー攻撃者によって配信されました。しかし、新しいバージョンでは、サイバー攻撃者が CVE-2022-31199 を悪用して初期アクセスを取得することも可能になります」と 2 つの連邦機関は共同報告書で述べています。 MS-ISAC とカナダ サイバー セキュリティ センター。

「2023 年 5 月の時点で、サイバー攻撃者はこの共通の脆弱性と暴露を利用して、新しい Truebot マルウェアの亜種を配信し、米国とカナダの組織に対して情報を収集して窃取していました。」

CISA Truebot のツイート

これまで観察されている Truebot の操作の性質に基づくと、Truebot の背後にいる攻撃者の主な目的は、金銭的利益を得るために侵害されたシステムから機密情報を盗むことです。

セキュリティ チームは、本日の共同勧告で共有されたガイドラインを使用して、Truebot 感染を示す悪意のあるアクティビティの兆候を探すことが推奨されます。

組織のネットワーク内で侵害の兆候 (IOC) を検出した場合、勧告に概要が記載されている緩和策とインシデント対応措置を直ちに実施し、CISA または FBI にインシデントを報告する必要があります。

組織で Netwrix の IT システム監査ソフトウェアを使用している場合は、CVE-2022-31199 の脆弱性に対処するパッチを適用し、Netwrix Auditor をバージョン 10.5 に更新する必要があります。

すべてのスタッフとサービスに対してフィッシング耐性のある多要素認証 (MFA) を使用して、重要なシステムへのアクセスをブロックすることも、このような攻撃を阻止する良い方法です。

Netwrix によると、同社の製品はエアバス、アリアンツ、英国の NHS、ヴァージンなどの有名企業を含む世界中の 13,000 を超える組織で使用されています。