Silence растит армию TrueBot с помощью эксплойтов и червя Raspberry Robin

Silence растит армию TrueBot с помощью эксплойтов и червя Raspberry Robin

Silence растит армию TrueBot с помощью эксплойтов и червя Raspberry Robin

Эксперты Cisco Talos фиксируют рост количества заражений TrueBot из арсенала русскоязычной Silence Group. Атаки с использованием данного Windows-загрузчика грозят кражей корпоративных данных и даже их потерей в том случае, когда злоумышленники развертывают в сети шифровальщика Cl0p, он же Clop.

Даунлоудер TrueBot используется на начальном этапе атаки Silence (группа хакеров вначале выбирала мишенями только российские банки, а потом отправилась на гастроли в другие страны). В задачи зловреда входят сбор системных данных и загрузка инструментов для развития атаки — маячка Cobalt Strike, трояна удаленного доступа FlawedGrace.

Последняя версия TrueBot, согласно Cisco Talos, умеет также делать скриншоты и собирать информацию о доверительных отношениях Active Directory. Из дополнительной полезной нагрузки исследователи особо отметили не встречавшийся ранее кастомный инструмент эксфильтрации данных Teleport.

 

Написанная на C++ утилита помогает хакерам скрытно выводить украденную информацию. Ее коммуникации с C2 шифруются, оператор может ограничить скорость выгрузки и размеры файлов, а также удалить Teleport по завершении процесса. В ходе атак новый инструмент использовался для кражи данных из папок OneDrive и Downloads, а также писем из Outlook. 

В некоторых случаях Silence использовала вторжение в сеть жертвы для шантажа — развертывала в системах и запускала в параллель шифровальщика Cl0p.

 

В середине августа кибергруппа сменила способ распространения TrueBot — перестала использовать адресные рассылки и перешла на эксплойт. Эксперимент с CVE-2022-31199 (RCE-уязвимость в Netwrix Auditor, 9,8 балла CVSS) продолжался полтора месяца; в октябре Silence переключилась на доставку с помощью USB-червя Raspberry Robin.

К ноябрю злоумышленникам удалось таким образом заразить более 1000 систем — в основном десктопы без публичного веб-доступа, с наибольшей концентрацией в Мексике, Бразилии и Пакистане.

 

В прошлом месяце способ распространения TrueBot вновь изменился, но вектор на сей раз определить не удалось. Известно лишь, что в ходе этой вредоносной кампании пострадало более 500 Windows-серверов с доступными из интернета службами SMB, RDP и WinRM. При этом три четверти заражений пришлись на долю США.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

WireTap: атака на Intel SGX позволяет украсть ключ за 45 минут

Группа исследователей из Технологического института Джорджии и Университета Пердью продемонстрировала атаку под названием WireTap, которая позволяет обойти защиту Intel SGX (Software Guard Extensions).

Главная особенность вектора атаки (PDF) в том, что для неё достаточно физического доступа к серверу и простого оборудования стоимостью менее $1000 — его можно собрать из подержанных деталей.

Учёные создали пассивный DIMM-интерпозер, который подключается к шине памяти DDR4. С его помощью они смогли замедлить и анализировать трафик, затем очистили кэш и получили контроль над защищённым SGX-«анклавом». Дальше дело техники: всего за 45 минут они извлекли ключ аттестации машины.

С помощью украденного ключа можно:

  • подделывать аттестацию и ломать приватность сетей вроде Phala и Secret, где хранятся зашифрованные смарт-контракты;
  • взламывать систему Crust, имитируя доказательства хранения данных и подрывая доверие к узлам сети.

По сути, это позволяет нарушить и конфиденциальность, и целостность таких сервисов.

Intel признала существование атаки, но отметила, что она требует физического доступа и использования спецустройства. А это, по словам Intel, выходит за рамки их стандартной модели угроз.

Исследователи считают, что снизить риски можно с помощью более сложного шифрования памяти, увеличения энтропии, защиты подписи в аттестации и повышения скорости шины.

Напомним, несколькими днями ранее мы рассказывали про другой вектор атаки — Battering RAM. Он работает довольно изящно — через дешёвое «железо» стоимостью всего около $50.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru