CISA: Lỗi Netwrix Auditor RCE bị khai thác trong các cuộc tấn công bằng phần mềm độc hại Truebot

Ngày 6 tháng 7, CISA và FBI đã cảnh báo về các biến thể phần mềm độc hại Truebot mới được triển khai trên các mạng bị xâm nhập bằng cách sử dụng lỗ hổng thực thi mã từ xa (RCE) quan trọng trong phần mềm Netwrix Auditor trong các cuộc tấn công nhắm mục tiêu vào các tổ chức tại Hoa Kỳ và Canada.

Lỗi (được theo dõi là CVE-2022-31199) ảnh hưởng đến máy chủ Netwrix Auditor và các tác nhân được cài đặt trên các hệ thống mạng được giám sát, đồng thời cho phép những kẻ tấn công trái phép thực thi mã độc với các đặc quyền của người dùng HỆ THỐNG.

TrueBot là trình tải xuống phần mềm độc hại được liên kết với nhóm tội phạm mạng Silence nói tiếng Nga và được tin tặc TA505 (liên kết với nhóm FIN11) sử dụng để triển khai phần mềm tống tiền Clop trên các mạng bị xâm nhập kể từ tháng 12 năm 2022.

Sau khi cài đặt TrueBot trên các mạng bị xâm nhập, những kẻ tấn công sẽ cài đặt FlawedGrace Remote Access Trojan (RAT), được liên kết với nhóm TA505, cho phép chúng nâng cấp đặc quyền và thiết lập sự tồn tại trên các hệ thống bị tấn công.

Vài giờ sau lần tấn công đầu tiên, chúng cũng sẽ triển khai các cảnh báo Cobalt Strike mà sau này có thể được sử dụng cho các nhiệm vụ hậu khai thác khác nhau, bao gồm đánh cắp dữ liệu và giảm thêm mã độc  (payload) phần mềm độc hại như ransomware.

"Các biến thể phần mềm độc hại Truebot trước đây chủ yếu do các tác nhân đe dọa mạng đưa vào thông qua các tệp đính kèm email lừa đảo độc hại; tuy nhiên, các phiên bản mới hơn cho phép các tác nhân đe dọa mạng cũng có được quyền truy cập ban đầu thông qua khai thác CVE-2022-31199", hai cơ quan liên bang cho biết trong một báo cáo chung với MS-ISAC và Trung tâm An ninh mạng Canada.

"Gần đây vào tháng 5 năm 2023, các tác nhân đe dọa mạng đã sử dụng lỗ hổng phổ biến và khả năng lộ diện này để cung cấp các biến thể phần mềm độc hại Truebot mới, đồng thời thu thập và lọc thông tin chống lại các tổ chức ở Hoa Kỳ và Canada."