Позначка: Raspberry Robin

Фахівці з інформаційної безпеки попередили про збільшення кількості заражень новою версією TrueBot. Першочергово вона націлена на користувачів з Мексики, Бразилії, Пакистану та США.

Згідно Cisco Talos, оператори шкідливих програм в даний час перейшли від використання шкідливих електронних листів до альтернативних методів доставки. Вони включають використання вразливості RCE в Netwrix Auditor, а також використання хробака Raspberry Robin. Нагадаю, авторство TrueBot експерти приписують російськомовній хак-групі Silence, відомої завдяки великим пограбуванням фінансових установ.

Як повідомляється зараз, зловмисники не тільки перейшли на нові способи доставки шкідливого ПЗ, але й стали використовувати для крадіжки даних спеціальний інструмент Teleport. Вони ж поширювали шифрувальник Cl0p, яким зазвичай користуються хакери з групи TA505, пов’язаної з іншою російсько-мовною хак-групою – FIN11.

Дослідники Cisco Talos пишуть, що виявили кілька нових векторів атак ще у серпні 2022 року. За їхніми спостереженнями, учасники Silence впровадили своє шкідливе програмне забезпечення в 1500 систем по всьому світу. Такий успіх пояснюється використанням шелкодів, маяків Cobalt Strike, шкідливого ПЗ Grace, інструменту для крадіжки даних Teleport та програми-вимагача Cl0p.

Зазначається, що у більшості атак, виявлених у період з серпня по вересень, хакери заражали системи жертв Truebot (Silence.Downloader), використовуючи критичну вразливість серверів Netwrix Auditor, яка відстежується як CVE-2022-31199. У жовтні 2022 року хакери повністю перейшли на використання шкідливих USB-накопичувачів та хробака Raspberry Robin. Останній доставляв на машини жертв корисні навантаження IcedID, Bumblebee та Truebot.

Нагадаю, що в жовтневому звіті Microsoft цей черв’як був пов’язаний з поширенням шифрувальника-вимагача Clop і хакерським угрупуванням DEV-0950, шкідлива активність якої пов’язана з діяльністю груп FIN11 та TA505. Як тепер зазначає Cisco Talos, оператори Truebot використовували Raspberry Robin для зараження понад 1000 хостів, багато з яких були недоступні через Інтернет. Найбільше жертв хакерів припадає на Мексику, Бразилію та Пакистан.

У листопаді хакери атакували сервери Windows, служби SMB, RDP та WinRM яких можна знайти в Інтернеті. Дослідники нарахували понад 500 випадків таких інфекцій, близько 75% їх у США.

Чим являлється Truebot?

Аналітики нагадують, що по суті Truebot – це модуль першого рівня, який збирає базову інформацію про систему жертви та робить скріншоти. Він також отримує інформацію про Active Directory, яка допомагає хакерам планувати свої наступні дії після зараження.

Як працює Truebot?

Сервер керування та контролю зловмисника може дати команду Truebot завантажити шелл-код або бібліотеки DLL у пам’ять, виконати додаткові модулі, видалити себе або завантажити файли DLL, EXE, BAT та файли PS1. Крім того, після злому хакери використовують Truebot для впровадження маяків Cobalt Strike або шкідливих програм Grace (FlawedGrace, GraceWire) у системи жертв. Потім зловмисники розгортають Teleport, який Cisco описує як новий інструмент, написаний на C++, який допомагає безшумно красти дані.

Канал зв’язку між Teleport та C&C сервером зашифрований. Оператори можуть обмежувати швидкість завантаження, фільтрувати файли за розміром (щоб вкрасти більше) або видаляти корисні навантаження. Teleport також може викрадати файли з папок OneDrive, збирати пошту жертви з Outlook та шукати файли з певними розширеннями.

Як хакери розповсюджують шифрувальник Clop?

Зазначається, що після розповсюдження всередині мережі, зараження максимальної кількості систем за допомогою Cobalt Strike та крадіжки даних, хакери в ряді випадків впроваджують у системи жертв вже згаданий вище шифрувальник Clop.

На етапі дослідження та горизонтального переміщення зловмисники переглядали ключові серверні та настільні файлові системи, підключаються до баз даних SQL та збирали дані, які потім передавалися на віддалений сервер за допомогою інструмента Teleport. Як тільки зібрано достатньо даних, зловмисники створили заплановані завдання на великій кількості систем, щоб одночасно запустити на них програму-вимагач Clop і зашифрувати якомога більше даних.”- пояснюють дослідники.

Фахівці Fortinet виявили нове шкідливе програмне забезпечення GoTrim, написане мовою Go, яке сканує Інтернет у пошуках сайтів WordPres. Також воно здійснює їх перебір шляхом підбору пароля адміністратора.

Такі атаки можуть призвести до розміщення шкідливого ПЗ, впровадження на сайти скриптів для крадіжки банківських карт, розміщення фішингових сторінок та інших сценаріїв атак, які потенційно зачіпають мільйони користувачів (залежно від популярності зламаних ресурсів).

Нагадаю, ми також писали про те, що нова версія Truebot використовує вразливість у Netwrix Auditor і черв’яка Raspberry Robin. Також про те, що Україна зазнала DDoS-атаків зі зламаних сайтів WordPress.

Робота GoTrim

Експерти пишуть, що GoTrim все ще знаходиться в розробці, але вже має потужні функції. Атаки ботнетів почалися наприкінці вересня 2022 року і продовжуються досі. Оператори зловмисного програмного забезпечення надають своїм роботам довгий список цільових ресурсів і список облікових даних. Після чого зловмисне програмне забезпечення підключається до кожного сайту і намагається зламати облікові записи адміністратора, використовуючи логіни та паролі з існуючого списку.

У разі успіху GoTrim авторизується на зламаному сайті та надсилає інформацію про нове зараження на керуючий сервер (включаючи ідентифікатор бота у вигляді хеша MD5). Потім шкідлива програма використовує PHP-скрипти для вилучення бота-клієнта GoTrim із жорстко заданої URL-адреси. Після чого видаляє як скрипт, так і компонент брутфорсу із зараженої системи.

Власне, GoTrim може працювати у двох режимах: «клієнт» та «сервер». У клієнтському режимі шкідливе ПЗ ініціює підключення до керуючого сервера ботнета, а в серверному запускає HTTP-сервер і чекає на вхідні запити. Наприклад, якщо зламана кінцева точка безпосередньо підключена до Інтернету, зловмисне програмне забезпечення використовує режим сервера.

GoTrim відправляє запити на сервер зловмисника кожні кілька хвилин, і якщо бот не отримає відповіді після 100 спроб, він перестане працювати. C&C-сервер може надсилати GoTrim наступні зашифровані команди:

• перевірте надані облікові дані для доменів WordPress;
• перевірте надані облікові дані для Joomla! (ще не реалізовано);
• перевірити надані облікові дані для доменів OpenCart;
• перевірити надані облікові дані для доменів Data Life Engine (ще не реалізовано);
• виявити установки CMS WordPress, Joomla!, OpenCart або Data Life Engine у домені;
• усунути шкідливе ПЗ.

Цікаво, що ботнет намагався уникнути уваги команди безпеки WordPress і не атакував сайти, розміщені на WordPress.com, а лише сайти із власними серверами. Це реалізується шляхом перевірки заголовка HTTP Referer для «wordpress.com».

Постачальники керованого хостингу WordPress зазвичай мають більше заходів безпеки для відстеження, виявлення та блокування спроб грубої сили, ніж сайти, розміщені на власному хостингу. Отже, потенційно успішна атака не вартує ризику виявлення.” – пояснюють дослідники.

Навіщо GoTrim застосовує CAPTCHA

Також зазначається, що якщо цільовий сайт використовує плагін CAPTCHA для боротьби з ботами, шкідливе програмне забезпечення виявить його і завантажить відповідний вирішувач. В даний час GoTrim підтримує сім популярних плагінів CAPTCHA.

Крім того, фахівці помітили, що ботнет уникає атакувати сайти, розміщені на 1gb.ru, проте точних причин такої поведінки не встановлено. Цілком можливо, що хакери, які створили шкідливе програмне забезпечення, просто знаходяться в Росії, і шукають можливість відмити гроші. Для захисту від GoTrim та інших подібних загроз експерти рекомендують адміністраторам сайтів використовувати надійні паролі, не використовувати паролі повторно та по можливості завжди використовувати двофакторну аутентифікацію.