Новости Связанная с Evil Corp группировка нашла новый способ заражения жертв

[NewsMaker]

Группа эксплуатирует исправленную уязвимость и использует методы хакеров Evil Corp.​

---

---

Исследователи кибербезопасности Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся об увеличении числа заражений вредоносным ПО TrueBot, в основном в Мексике, Бразилии, Пакистане и США.

В ходе атак киберпреступники эксплуатируют исправленную Для просмотра ссылки Войди или Зарегистрируйся - уязвимость в Netwrix Auditor, а также используют Для просмотра ссылки Войди или Зарегистрируйся для доставки TrueBot. Компрометация приводит к краже данных и запуску Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся — это загрузчик вредоносного ПО для Windows, приписываемый группировке Для просмотра ссылки Войди или Зарегистрируйся (по данным Group-IB), которая, предположительно, имеет общие связи с Для просмотра ссылки Войди или Зарегистрируйся . Предположения о связи групп основаны на том, что Evil Corp использует червя Raspberry Robin Для просмотра ссылки Войди или Зарегистрируйся

Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся

---

---

---

---

По данным Cisco Talos, APT-группа Silence осуществила серию атак в период с середины августа по сентябрь 2022 года, эксплуатируя критическую RCE-уязвимость в Для просмотра ссылки Войди или Зарегистрируйся ( Для просмотра ссылки Войди или Зарегистрируйся , оценка CVSS: 9,8) для загрузки и запуска TrueBot.

Основная функция TrueBot — собирать информацию с хоста и развертывать полезные нагрузки следующего этапа, такие как Для просмотра ссылки Войди или Зарегистрируйся , троян Для просмотра ссылки Войди или Зарегистрируйся и ранее неизвестную утилиту для эксфильтрации данных Teleport. Далее выполняется боковое перемещение и сбор данных, а затем запускается бинарный файл программы-вымогателя Clop.

Инструмент для эксфильтрации данных Teleport также примечателен своей способностью ограничивать скорость загрузки и размер файлов, в результате чего передача данных не обнаруживается программами для мониторинга. Кроме того, Teleport может стереть свое присутствие с машины.

Анализ Teleport показал, что ПО используется исключительно для сбора файлов из OneDrive и Загрузок, а также сообщений из Outlook.

По словам Cisco Talos, доставка Raspberry Robin привела к созданию ботнета из более 1000 систем, которые распространяются по всему миру, в частности, в Мексике, Бразилии и Пакистане. Более того, кампания с использованием TrueBot объединила в ботнет более 500 серверов Windows, расположенных в США, Канаде и Бразилии.