Silence растит армию TrueBot с помощью эксплойтов и червя Raspberry Robin

Татьяна Никитина 12 Декабря 2022 - 18:04

...

Эксперты Cisco Talos фиксируют рост количества заражений TrueBot из арсенала русскоязычной Silence Group. Атаки с использованием данного Windows-загрузчика грозят кражей корпоративных данных и даже их потерей в том случае, когда злоумышленники развертывают в сети шифровальщика Cl0p, он же Clop.

Даунлоудер TrueBot используется на начальном этапе атаки Silence (группа хакеров вначале выбирала мишенями только российские банки, а потом отправилась на гастроли в другие страны). В задачи зловреда входят сбор системных данных и загрузка инструментов для развития атаки — маячка Cobalt Strike, трояна удаленного доступа FlawedGrace.

Последняя версия TrueBot, согласно Cisco Talos, умеет также делать скриншоты и собирать информацию о доверительных отношениях Active Directory. Из дополнительной полезной нагрузки исследователи особо отметили не встречавшийся ранее кастомный инструмент эксфильтрации данных Teleport.

Написанная на C++ утилита помогает хакерам скрытно выводить украденную информацию. Ее коммуникации с C2 шифруются, оператор может ограничить скорость выгрузки и размеры файлов, а также удалить Teleport по завершении процесса. В ходе атак новый инструмент использовался для кражи данных из папок OneDrive и Downloads, а также писем из Outlook.

В некоторых случаях Silence использовала вторжение в сеть жертвы для шантажа — развертывала в системах и запускала в параллель шифровальщика Cl0p.

В середине августа кибергруппа сменила способ распространения TrueBot — перестала использовать адресные рассылки и перешла на эксплойт. Эксперимент с CVE-2022-31199 (RCE-уязвимость в Netwrix Auditor, 9,8 балла CVSS) продолжался полтора месяца; в октябре Silence переключилась на доставку с помощью USB-червя Raspberry Robin.

К ноябрю злоумышленникам удалось таким образом заразить более 1000 систем — в основном десктопы без публичного веб-доступа, с наибольшей концентрацией в Мексике, Бразилии и Пакистане.

В прошлом месяце способ распространения TrueBot вновь изменился, но вектор на сей раз определить не удалось. Известно лишь, что в ходе этой вредоносной кампании пострадало более 500 Windows-серверов с доступными из интернета службами SMB, RDP и WinRM. При этом три четверти заражений пришлись на долю США.

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 17 Марта 2026 - 18:43

Solar webProxy Малый и средний бизнес Корпорации Сетевая безопасность Шлюзы информационной безопасности (Security Web Gateway) ГК «Солар»

Заказчики Solar webProxy в Беларуси смогут быстрее получать новые версии

ГК «Солар» сообщила, что её система фильтрации и контроля веб-трафика Solar webProxy теперь сможет обновляться для белорусских заказчиков без прежних задержек, связанных с сертификацией. Это стало возможно благодаря изменённому подходу к подтверждению соответствия в Оперативно-аналитическом центре при Президенте Республики Беларусь.

Если раньше фактически приходилось отдельно проходить подтверждение для каждой новой версии продукта, то теперь последующие релизы будут автоматически получать одобрение регулятора.

На практике это значит, что белорусские клиенты смогут быстрее получать новые функции и обновления — без паузы между выходом версии и её допустимым использованием.

В первую очередь это касается организаций, для которых требования регулятора особенно чувствительны: госструктур, финансового сектора и объектов критической инфраструктуры.

Сам продукт относится к классу Secure Web Gateway. Такие системы используются для контроля веб-трафика, ограничения доступа к нежелательным ресурсам, защиты от фишинга и более тонкой настройки интернет-доступа для сотрудников. В случае Solar webProxy отдельно подчёркивается и контроль работы с публичными ИИ-сервисами — например, ChatGPT и Gemini.

Эта тема сейчас выглядит вполне актуально и для белорусского рынка. По приведённым в сообщении данным, всё больше компаний используют нейросети в повседневной работе — для маркетинга, аналитики, обучения и клиентского сервиса. Одновременно растёт и тревога вокруг утечек данных: сотрудники могут загружать в публичные ИИ-сервисы внутренние документы, отчёты, фрагменты исходного кода и другую чувствительную информацию.

На этом фоне решения класса SWG становятся не просто инструментом фильтрации трафика, а способом хотя бы частично контролировать, куда именно уходит корпоративная информация и какие внешние сервисы используют сотрудники.

В компании также сообщили, что сертификат подтверждает соответствие Solar webProxy требованиям технического регламента ТР 2013/027/BY и позволяет использовать продукт в автоматизированных системах 2 и 3 класса защищённости.

Solar webProxy стала уже третьим решением «Солара», сертифицированным в Беларуси. Ранее аналогичную процедуру прошли Solar inRights и Solar Dozor.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!