นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดเผยการพบพฤติกรรมของ TrueBot เพิ่มขึ้นในเดือนพฤษภาคม 2023
Fae Carlisle นักวิจัยจาก VMware ระบุว่า "TrueBot เป็นโทรจันบอตเน็ต ที่ใช้ C2 Server เก็บรวบรวมข้อมูลที่เกี่ยวกับระบบที่ถูกโจมตี และใช้ระบบที่ถูกโจมตีนั้นเป็นจุดเริ่มต้นในการโจมตีครั้งถัดไป"
TrueBot ถูกพบครั้งแรกตั้งแต่ปี 2017 และมีความเกี่ยวข้องกับกลุ่ม Silence ซึ่งเชื่อว่ามีความเกี่ยวข้องกับกลุ่มอาชญากรทางไซเบอร์ชาวรัสเซียที่ชื่อ Evil Corp
การโจมตีของ TrueBot เมื่อเร็ว ๆ นี้ ได้ใช้ช่องโหว่ระดับ Critical ใน Netwrix Auditor (CVE-2022-31199, CVSS: 9.8) และ Raspberry Robin เป็นช่องทางในการแพร่กระจายมัลแวร์
การโจมตีที่ถูกพบโดย VMware เริ่มต้นด้วยการดาวน์โหลดไฟล์ปฏิบัติการชื่อ "update.exe" จาก Google Chrome ซึ่งแสดงให้เห็นว่าผู้ใช้งานถูกหลอกให้ดาวน์โหลดมัลแวร์โดยปลอมเป็นการอัปเดตซอฟต์แวร์
เมื่อรัน update.exe แล้ว จะมีการเชื่อมต่อกับที่อยู่ IP ของ TrueBot ที่ตั้งอยู่ในประเทศรัสเซีย เพื่อดึงไฟล์ปฏิบัติการขั้นที่สอง ("3ujwy2rz7v.exe") ที่จะถูกเรียกใช้งานผ่าน Windows Command Prompt
ส่วนการเชื่อมต่อกับ C2 Server จะถูกใช้เพื่อดึงข้อมูลที่มีความสำคัญจากเครื่องของเหยื่อ นอกจากนี้ยังสามารถทำการรวบรวมข้อมูลของ process ที่ทำงานอยู่บนระบบของเหยื่อได้
Carlisle ระบุว่า "TrueBot สามารถแพร่กระจายได้อย่างรวดเร็ว โดยเมื่อองค์กรติดมัลแวร์แล้ว มันสามารถแพร่กระจายมัลแวร์ไปทั่วทั้งเครือข่าย ในลักษณะเดียวกันกับที่แรนซัมแวร์มักใช้ในการแพร่กระจายตัวเอง"
การค้นพบครั้งนี้เกิดขึ้นในช่วงเวลาเดียวกันกับที่ SonicWall รายงานเกี่ยวกับ downloader malware รูปแบบใหม่ที่เรียกว่า GuLoader (หรือ CloudEyE) ซึ่งใช้ในการแพร่กระจายมัลแวร์ต่าง ๆ เช่น Agent Tesla, Azorult และ Remcos
อ้างอิง : https://thehackernews.com/2023/06/alarming-surge-in-truebot-activity.html?&web_view=true
You must be logged in to post a comment.