NUEVA ACTIVIDAD DEL MALWARE TRUEBOT

10/12/2022

BOLETÍN NRO 2022-719

Recientemente investigadores en ciberseguridad han informado sobre una campaña que distribuye el malware TrueBot y tiene como objetivo países como México, Brasil, Pakistán y Estados Unidos.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: CVE-2022-31199                                    Severidad:   ALTA

Investigadores afirman que los atacantes que están detrás de la operación han pasado de utilizar correos electrónicos maliciosos a métodos de entrega alternativos, como la explotación de un fallo de ejecución remota de código (RCE) ya parcheado en Netwrix auditor, así como el uso del worm Raspberry Robin. TrueBot es un malware para Windows que se atribuye al grupo Silence, un grupo de origen ruso que comparte asociaciones con Evil Corp (alias DEV-0243) y TA505.

Según un grupo de analistas, el módulo de primera fase funciona como punto de entrada para las posteriores actividades de explotación, incluido el robo de información mediante una utilidad de exfiltración de datos personalizada y desconocida hasta ahora, denominada Teleport. El uso de Raspberry Robin un worm que se propaga principalmente a través de unidades USB infectadas como vector de distribución de TrueBot fue descubierto recientemente por Microsoft, que indico que este ataque probablemente está en coordinación con otros grupos de ciberdelincuentes.

Además, se ha observado que Raspberry Robin despliega FakeUpdates (también conocido como SocGholish) en los sistemas infectados, lo que en última instancia conduce a un comportamiento similar al del ransomware vinculado a Evil Corp.

Según los últimos hallazgos muestran que la APT Silence llevó a cabo un pequeño conjunto de ataques entre mediados de agosto y septiembre de 2022 abusando de una vulnerabilidad RCE en Netwrix auditor conocido como CVE-2022-31199 para descargar y ejecutar TrueBot. En octubre, sin embargo, implicaron el uso de un vector de ataque diferente, es decir, Raspberry Robin lo que subraya la evaluación de Microsoft sobre la distribución de malware.

La función principal de TrueBot es recopilar información del host y desplegar payloads de siguiente fase como Cobalt Strike, FlawedGrace y Teleport. A continuación, ejecuta el binario del ransomware tras recopilar la información relevante.

La herramienta de exfiltración de datos Teleport también destaca por su capacidad para limitar la velocidad de carga y el tamaño de los archivos, lo que hace que el envio de información hacia el servidor de los ciberdelincuentes no sean detectadas por el software de supervisión. Además, puede borrar sus rastros de la computadora vulnerada.

Un análisis más detallado de los comandos emitidos a través de Teleport revela que el programa se utiliza exclusivamente para recopilar archivos de las carpetas OneDrive y descargas, así como de los mensajes de correo electrónico de Outlook de la víctima. La distribución de Raspberry Robin llevó a la creación de una botnet que se distribuye por todo el mundo, pero con especial atención a México, Brasil y Pakistán.

Indicadores de Compromiso

IP

45[.]227[.]253[.]102

179[.]60[.]150[.]53

179[.]60[.]150[.]34

Dominio

nefosferta[.]com

jirostrogud[.]com

gbpooolfhbrb[.]com

URL

hxxp[:]//nefosferta[.]com/gate[.]php

hxxp[:]//jirostrogud[.]com/gate[.]php

hxxp[:]//hiperfdhaus[.]com/gate[.]php

hxxp[:]//gbpooolfhbrb[.]com/gate[.]php

hxxp[:]//88[.]214[.]27[.]101/gate[.]php

hxxp[:]//88[.]214[.]27[.]100/gate[.]php

hxxp[:]//179[.]60[.]150[.]53[:]80/download/msruntime[.]dll

hxxp[:]//179[.]60[.]150[.]53[:]80/download/GoogleUpdate[.]dll

hxxp[:]//179[.]60[.]150[.]34[:]80/download/file[.]ext

Hash

MD5: a7fb7ec6b5454fca1cb8af7d0610771b

SHA-256: dd94c2fc46a6670b4600cf439b35dc81a401b09d2c2372139afe7b754d1d24d4

MD5: 36057710279d9f0d023cb5613aa76d5e

SHA-256: 97d0844ce9928e32b11706e06bf2c4426204d998cb39964dd3c3de6c5223fff0

MD5: 6a2f114a8995dbeb91f766ac2390086e

SHA-256: 72813522a065e106ac10aa96e835c47aa9f34e981db20fa46a8f36c4543bb85d

MD5: 5022a85b39a75ebe2bc0411d7b058b2e

SHA-256: 68a86858b4638b43d63e8e2aaec15a9ebd8fc14d460dd74463db42e59c4c6f89

MD5: 0bae65245e5423147fce079de29b6136

SHA-256: 6210a9f5a5e1dc27e68ecd61c092d2667609e318a95b5dade3c28f5634a89727

MD5: 587acecdb9491e0897d1067eb02e7c8d

SHA-256: 55d1480cd023b74f10692c689b56e7fd6cc8139fb6322762181daead55a62b9e

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: New TrueBot Malware Variant Leveraging Netwrix Auditor Bug and Raspberry Robin Worm
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​