Silence растит армию TrueBot с помощью эксплойтов и червя Raspberry Robin

Татьяна Никитина 12 Декабря 2022 - 18:04

...

Эксперты Cisco Talos фиксируют рост количества заражений TrueBot из арсенала русскоязычной Silence Group. Атаки с использованием данного Windows-загрузчика грозят кражей корпоративных данных и даже их потерей в том случае, когда злоумышленники развертывают в сети шифровальщика Cl0p, он же Clop.

Даунлоудер TrueBot используется на начальном этапе атаки Silence (группа хакеров вначале выбирала мишенями только российские банки, а потом отправилась на гастроли в другие страны). В задачи зловреда входят сбор системных данных и загрузка инструментов для развития атаки — маячка Cobalt Strike, трояна удаленного доступа FlawedGrace.

Последняя версия TrueBot, согласно Cisco Talos, умеет также делать скриншоты и собирать информацию о доверительных отношениях Active Directory. Из дополнительной полезной нагрузки исследователи особо отметили не встречавшийся ранее кастомный инструмент эксфильтрации данных Teleport.

Написанная на C++ утилита помогает хакерам скрытно выводить украденную информацию. Ее коммуникации с C2 шифруются, оператор может ограничить скорость выгрузки и размеры файлов, а также удалить Teleport по завершении процесса. В ходе атак новый инструмент использовался для кражи данных из папок OneDrive и Downloads, а также писем из Outlook.

В некоторых случаях Silence использовала вторжение в сеть жертвы для шантажа — развертывала в системах и запускала в параллель шифровальщика Cl0p.

В середине августа кибергруппа сменила способ распространения TrueBot — перестала использовать адресные рассылки и перешла на эксплойт. Эксперимент с CVE-2022-31199 (RCE-уязвимость в Netwrix Auditor, 9,8 балла CVSS) продолжался полтора месяца; в октябре Silence переключилась на доставку с помощью USB-червя Raspberry Robin.

К ноябрю злоумышленникам удалось таким образом заразить более 1000 систем — в основном десктопы без публичного веб-доступа, с наибольшей концентрацией в Мексике, Бразилии и Пакистане.

В прошлом месяце способ распространения TrueBot вновь изменился, но вектор на сей раз определить не удалось. Известно лишь, что в ходе этой вредоносной кампании пострадало более 500 Windows-серверов с доступными из интернета службами SMB, RDP и WinRM. При этом три четверти заражений пришлись на долю США.

Следующая главная новость »

Какие продукты и технологии лучшие в ИБ в 2025 году? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »

Яков Шпунт 23 Декабря 2025 - 20:51

Мошенничество Соответствие законодательству РФ Домашние пользователи Государство

Конституционный суд упростил иски для жертв телефонного мошенничества

Конституционный суд подтвердил право жертв телефонного мошенничества обращаться в суд по месту своего жительства, а не по месту проживания ответчика. Ранее, исходя из положений статей 28 и 29 Гражданского процессуального кодекса РФ, суды нередко требовали подавать иски о возмещении ущерба именно по месту жительства ответчика.

С жалобой в высшую судебную инстанцию обратилась жительница Ставропольского края, сообщает «Российская газета».

Женщина стала жертвой злоумышленников, которые получили доступ к её онлайн-банку и похитили значительную сумму денег. По данному факту было возбуждено уголовное дело, однако его приостановили из-за неустановления лица, подлежащего привлечению в качестве обвиняемого.

В ходе расследования при этом удалось установить номер банковской карты дропа. Потерпевшая подала иск к владельцу карты о взыскании неосновательного обогащения, однако суды отклонили обращения «за нарушение принципа подсудности», поскольку ответчик проживал в Московской области. Поездка в другой регион, как указала заявительница, была для неё связана с «болезненными и практически непреодолимыми трудностями».

Судьи Конституционного суда напомнили, что право на судебную защиту предполагает эффективное восстановление нарушенных прав и свобод посредством правосудия.

«Актуальная социально-криминологическая обстановка и меняющийся характер и динамика преступности дают дополнительные основания для совершенствования гарантий доступности правосудия для потерпевших от преступлений, — приводит издание выдержку из решения Конституционного суда. — При этом учёту подлежат особенности правовой природы отношений собственности как объекта посягательства и такого их предмета, в качестве которого выступают деньги, способные поступать в результате хищения в распоряжение лиц, находящихся в самых разных, в том числе весьма удалённых от места жительства потерпевшего, местах».

В итоге Конституционный суд признал необходимость отступления от принципа территориальной подсудности при подаче исков жертвами мошенников. В суде указали, что следование прежнему подходу смещает баланс в пользу потенциального ответчика, и такой дисбаланс должен быть устранён, в том числе на законодательном уровне.

Какие продукты и технологии лучшие в ИБ в 2025 году? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »