Կիբերանվտանգության ոլորտի փորձագետները պարզել են TrueBot-ի ակտիվության աճ պատճառները:
«TrueBot-ը downloader trojan botnet է, որն օգտագործում է հրամանների և վերահսկման սերվերներ՝ վտանգի ենթարկված համակարգերի մասին տեղեկություններ հավաքելու համար և օգտագործում է դրանք որպես առանցք՝ հետագա հարձակումների համար», – նշում է VMware-ի Fae Carlisle-ը:
Գործելով դեռևս 2017 թվականից՝ TrueBot-ն աշխատում է մի խմբավորման հետ, որը հայտնի է Silence անվանմամբ: Ենթադրվում է, որ այն համընկնում է ռուս կիբերհանցագործությունների դեմ պայքարող հաքերի ձեռագրին, որը հայտնի է Evil Corp անվանմբ:
«TrueBot»-ի վերջին հարձակումները խոցելիություններ են առաջացրել Netwrix-ի auditor-ում (CVE-2022-31199, CVSS միավորը՝ 9.8), ինչպես նաև «Raspberry Robin»-ում:
VMware-ի կողմից փաստագրված հարձակման շղթան սկսվում է Google Chrome-ից «update.exe» անունով գործարկվող սարքի ներբեռնմամբ՝ ենթադրելով, որ օգտատերերը կգայթակղվեն malware ծրագրով:
Գործարկվելուց հետո “update.exe“-ը ծանուցում է ուղարկում Ռուսաստանում գտնվող TrueBot IP հասցեին՝ ստանալով երկրորդ փուլի գործարկիչը («3ujwy2rz7v.exe»), որը հետագայում գործարկվում է Windows Command Prompt-ի միջոցով:
«TrueBot-ը խիստ անցանկալի է ցանկացած համակարգի համար», – նշում է Կարլայլը:
«Երբ համակարգի աշխատանքը խափանվում է այս malware-ային ծրագրով, այն կարող է արագ աճ ստանալ՝ դառնալով ավելի մեծ վարակ, ճիշտ այնպես, ինչպես ransomware-ն է տարածվում ցանցում»:
Բացահայտումների մասին հանրայնորեն խոսվեց այն ժամանակ, երբ SonicWall-ը մանրամասնեց մեկ այլ՝ GuLoader (aka CloudEyE) downloader malware-ի մասին, որն օգտագործվում է malware ծրագրերի լայն շրջանակ մատակարարելու համար, ինչպիսիք են՝ Agent Tesla-ն, Azorult-ը և Remcos-ը:
Աղբյուրը՝ https://thehackernews.com/