Ερευνητές ασφαλείας διαπίστωσαν ότι όλο και περισσότερες συσκευές μολύνονται με το malware downloader TrueBot, που δημιουργήθηκε από μια ρωσόφωνη ομάδα από hackers, γνωστή ως Silence που αναπτύσσει επίσης το Clop ransomware.
Η ομάδα Silence, γνωστή για τη στόχευση χρηματοπιστωτικών ιδρυμάτων, έχει αρχίσει να απομακρύνεται από το phishing ως κύρια μέθοδο παραβίασης συστημάτων.
Η ομάδα χρησιμοποιεί επίσης ένα νέο custom εργαλείο εξαγωγής δεδομένων που ονομάζεται Teleport. Η ανάλυση των πιο πρόσφατων επιθέσεων αποκάλυψε ότι η συμμορία μολύνει τα θύματα και με το ransomware Clop που συνήθως αναπτύσσεται από τους hackers TA505, που σχετίζονται με την ομάδα FIN11.
Μολύνσεις με το Truebot
Σύμφωνα με πρόσφατες αναφορές, οι hackers της Silence έχουν εγκαταστήσει το κακόβουλο λογισμικό τους TrueBot σε περισσότερα από 1.500 συστήματα σε όλο τον κόσμο προκειμένου να αναπτύξουν shellcode, Cobalt Strike beacons, το κακόβουλο λογισμικό Grace, το εργαλείο κλοπής δεδομένων Teleport και το Clop ransomware.
Δείτε επίσης: Royal ransomware: Επιτίθεται σε οργανισμούς υγειονομικής περίθαλψης
Οι ερευνητές της Cisco Talos έχουν παρατηρήσει πολλούς νέους τρόπους επίθεσης της ομάδας από τον Αύγουστο.
Μεταξύ Αυγούστου και Σεπτεμβρίου, σημειώθηκε ένας μικρός αριθμός επιθέσεων στις οποίες οι hackers εκμεταλλεύτηκαν την κρίσιμη ευπάθεια CVE-2022-31199 σε Netwrix Auditor servers για να μολύνουν συστήματα με το Truebot (Silence.Downloader).
Τον Οκτώβριο του 2022, η συμμορία αναβάθμισε τη μέθοδο μόλυνσης χρησιμοποιώντας USB drives για να μεταφέρει το Raspberry Robin worm. Αυτό το worm μόλυνε τα συστήματα με τα κακόβουλα payloads IcedID, Bumblebee και Truebot.
Τον Οκτώβριο, η Microsoft δημοσίευσε μια έκθεση στην οποία συνέδεσε το worm με τη διανομή του ransomware Clop. Οι ερευνητές προσδιόρισαν τον δράστη της απειλής ως DEV-0950, του οποίου η κακόβουλη δραστηριότητα προφανώς επικαλύπτεται με αυτή των FIN11 και TA505 (οι οποίες είναι γνωστές για τη χρήση του Clop σε επιθέσεις εκβιασμού).
Η Cisco Talos διαπίστωσε ότι οι hackers Silence χρησιμοποίησαν το Raspberry Robin για να μολύνουν περίπου 1.000 υπολογιστές, πολλοί από τους οποίους ήταν επιτραπέζιοι υπολογιστές στο Μεξικό, τη Βραζιλία και το Πακιστάν.
Τον περασμένο Νοέμβριο, hackers στόχευσαν Windows servers που είχαν υπηρεσίες SMB, RDP και WinRM εκτεθειμένες στο διαδίκτυο. Οι ερευνητές μέτρησαν περισσότερες από 500 μολύνσεις, το 75% των οποίων ήταν στις Ηνωμένες Πολιτείες.
Δείτε επίσης: Η ομάδα APT37 χρησιμοποιεί ένα Internet Explorer zero-day και διασπείρει malware
Το Truebot είναι ένα module πρώτου σταδίου που μπορεί να συλλέξει βασικές πληροφορίες και να τραβήξει screenshots. Επίσης, διεισδύει σε Active Directory trust relations information που βοηθούν τον επιτιθέμενο να σχεδιάσει την επίθεση μετά την αρχική μόλυνση.
Ο command and control (C2) server μπορεί στη συνέχεια να δώσει εντολή στο Truebot να φορτώσει shellcode ή DLL στη μνήμη, να εκτελέσει πρόσθετα modules, να απεγκαταστήσει τον εαυτό του ή να κατεβάσει αρχεία DLL, EXE, BAT και PS1.
Teleport: Νέο εργαλείο εξαγωγής δεδομένων
Στη φάση μετά την παραβίαση, οι Silence hackers χρησιμοποιούν το Truebot για να εγκαταστήσουν στα συστήματα Cobalt Strike beacons ή το Grace malware (FlawedGrace, GraceWire), το οποίο έχει αποδοθεί στην ομάδα κυβερνοεγκληματιών TA505.
Μετά από αυτό, οι εισβολείς αναπτύσσουν το Teleport, το οποίο η Cisco περιγράφει ως ένα νέο custom εργαλείο που βοηθά τους hackers να κλέβουν δεδομένα κρυφά.
Το κανάλι επικοινωνίας μεταξύ του Teleport και του διακομιστή C2 είναι κρυπτογραφημένο. Οι χειριστές μπορούν να περιορίσουν την ταχύτητα μεταφόρτωσης, να φιλτράρουν τα αρχεία κατά μέγεθος για να κλέψουν περισσότερα ή να διαγράψουν το payload. Όλα αυτά έχουν σχεδιαστεί για να μην καταλαβαίνει κάτι το θύμα.
Το Teleport διαθέτει, επίσης, επιλογές για την κλοπή αρχείων από φακέλους OneDrive, τη συλλογή των email του Outlook του θύματος ή τη στόχευση συγκεκριμένων επεκτάσεων αρχείων.
Σύμφωνα με τους ερευνητές, σε ορισμένες περιπτώσεις, οι εισβολείς αναπτύσσουν το Clop ransomware αφού μετακινηθούν laterally σε όσο το δυνατόν περισσότερα συστήματα.
Οι ερευνητές της Cisco Talos εξηγούν ότι κατά τη διάρκεια των φάσεων εξερεύνησης και του lateral movement, οι επιτιθέμενοι περιηγούνται σε βασικά συστήματα και συλλέγουν δεδομένα που εξάγονται χάρη στο εργαλείο Teleport.
Δείτε επίσης: Στις dark web αγορές πωλούνται εταιρικά email accounts για $2
“Μόλις συγκεντρώθηκαν επαρκή δεδομένα, οι εισβολείς δημιούργησαν scheduled tasks σε μεγάλο αριθμό συστημάτων για να ξεκινήσουν ταυτόχρονα την εκτέλεση του ransomware Clop και να κρυπτογραφήσουν τον υψηλότερο δυνατό όγκο δεδομένων“.
Silence hackers
Ερευνητές της εταιρείας κυβερνοασφάλειας Group-IB παρακολουθούν τη δραστηριότητα της ομάδας Silence/Truebot από το 2016, όταν οι hackers παραβίασαν κρυφά μια τράπεζα, αλλά δεν κατάφεραν να κλέψουν χρήματα εξαιτίας ενός προβλήματος με μια εντολή πληρωμής.
Οι hackers στόχευσαν ξανά την ίδια τράπεζα και άρχισαν να παρακολουθούν τραβώντας στιγμιότυπα οθόνης και βίντεο από το μολυσμένο σύστημα, για να μάθουν πώς λειτουργεί η διαδικασία μεταφοράς χρημάτων.
Το 2017, έκαναν την πρώτη τους επιτυχημένη ληστεία, σύμφωνα με τη Group-IB. Στόχευαν ATM και έκλεψαν περισσότερα από 100.000 δολάρια σε μια νύχτα.
Οι hackers Silence συνέχισαν τις επιθέσεις τους και μεταξύ 2016 και 2019 έκλεψαν τουλάχιστον 4,2 εκατομμύρια δολάρια από τράπεζες στην πρώην Σοβιετική Ένωση, την Ευρώπη, τη Λατινική Αμερική και την Ασία.
Οι ερευνητές της Group-IB πιστεύουν ότι η ομάδα Silence αποτελείται από hackers με πολλές γνώσεις και δεξιότητες. Αρχικά, η ομάδα στόχευε μόνο οργανισμούς στη Ρωσία, αλλά αργότερα οι επιθέσεις της επεκτάθηκαν σε όλο τον κόσμο.
Ανεξάρτητα από το πόσο προσεκτικοί είστε με την ψηφιακή σας ασφάλεια, υπάρχει πάντα η πιθανότητα να μολυνθείτε με κάποιο malware ή ransomware. Να θυμάστε ότι η πρόληψη είναι καλύτερη από τη θεραπεία όταν πρόκειται για την προστασία από τέτοιες απειλές, οπότε λάβετε μέτρα σήμερα για να ασφαλίσετε τις συσκευές και τα δίκτυά σας από τους κυβερνοεγκληματίες!
Πηγή: www.bleepingcomputer.com