La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha publicado un aviso de seguridad cibernética en conjunto con otras organizaciones en respuesta a los actores de amenazas cibernéticas que aprovechan las variantes de malware Truebot recientemente identificadas contra organizaciones en los Estados Unidos y Canadá. Recientemente se observó un aumento en las amenazas cibernéticas que utilizan nuevas variantes de malware de Truebot. El mencionado malware Truebot, también conocido como Silence.Downloader, es un programa malicioso que tiene capacidades de botnet y de cargador/inyector. Este malware puede añadir los dispositivos de las víctimas a una botnet y causar infecciones en cadena del sistema, es decir, descargar/instalar programas/componentes maliciosos adicionales)..
Las variantes anteriores de malware Truebot fueron entregadas principalmente a través de archivos adjuntos de correo electrónico de phishing malicioso; sin embargo, las versiones más nuevas permiten que los actores de amenazas cibernéticas también obtengan acceso inicial mediante la explotación de CVE-2022-31199 (una vulnerabilidad de ejecución remota de código en la aplicación Netwrix Auditor), lo que permite la implementación del malware a escala dentro del entorno comprometido. Según la confirmación de los informes de código abierto y los hallazgos analíticos de las variantes de Truebot, los delincuentes cibernéticos están aprovechando las campañas de phishing con hipervínculos de redireccionamiento maliciosos y CVE-2022-31199 para ofrecer nuevas variantes de malware de Truebot.
Según la naturaleza de las operaciones de Truebot observadas, el principal objetivo de una infección de Truebot es filtrar datos confidenciales de los hosts comprometidos para obtener ganancias financieras.
Los dos métodos usados son:
Suplantación de identidad o phishing:
Se han utilizado históricamente correos electrónicos de phishing maliciosos como el principal método de entrega del malware Truebot, que engaña a los destinatarios para que hagan clic en un hipervínculo para ejecutar el malware. Se ha observado además que se ocultan archivos adjuntos de correo electrónico (ejecutables) como notificaciones de actualización de software que parecen ser legítimos. Después de la interacción con el ejecutable, los usuarios serán redirigidos a un dominio web malicioso donde se ejecutarán los archivos de script.
Explotación de CVE-2022-31199:
Si bien el phishing sigue siendo un método de entrega importante, los hackers han cambiado de táctica, explotando una vulnerabilidad de ejecución remota de código (CVE-2022-31199) en Netwrix Auditor, software utilizado para aplicaciones locales y basadas en la nube de auditoría de sistemas informáticos. A través de la explotación de este CVE, los delincuentes cibernéticos obtienen acceso inicial, así como la capacidad de moverse lateralmente dentro de la red comprometida.
Herramientas y vectores de entrega asociados:
- Raspberry Robin (malware)
- FlawedGrace (malware)
- Cobalt Strike (herramienta)
- Teleport (herramienta)
MITIGACIONES
Sugerimos tomar estas acciones para defenderse proactivamente contra ataques:
- Priorizar la reparación de vulnerabilidades explotadas conocidas.
- Capacite a los usuarios para que reconozcan y denuncien los intentos de phishing.
- Habilite y haga cumplir la autenticación multifactor resistente al phishing.
- Actualice Netwrix Auditor a la versión 10.5
Netwrix recomienda usar su aplicación Auditor solo en redes internas. Los propietarios de sistemas que no sigan esta recomendación y utilicen la aplicación en instancias externas corren un mayor riesgo de que se explote CVE-2022-31199 en sus sistemas.
Para más información sobre acciones de mitigación y prevención, contacte con nuestros expertos.
Fuente: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-187a