Peneliti keamanan telah memperhatikan lonjakan perangkat yang terinfeksi pengunduh malware TrueBot yang dibuat oleh grup peretasan berbahasa Rusia yang dikenal sebagai Silence.
Grup Silence dikenal karena perampokannya yang besar terhadap lembaga keuangan, dan telah mulai beralih dari phishing sebagai vektor kompromi awal.
Infeksi truebot
silence hackers telah menanam malware mereka di lebih dari 1500 sistem di seluruh dunia untuk mengambil shellcode, cobalt strike beacon the grace malwaare
Kampanye baru dianalisis oleh para peneliti di Cisco Talos, yang mengamati beberapa vektor serangan baru yang digunakan sejak Agustus 2022. para peretas menginfeksi sistem dengan Truebot (Silence.Downloader) setelah mengeksploitasi kerentanan kritis di server Netwrix Auditor yang dilacak sebagai CVE-2022- 31199.
Laporan dari Microsoft pada bulan Oktober telah menghubungkan worm dengan distribusi ransomware Clop oleh aktor ancaman yang mereka lacak sebagai DEV-0950, yang aktivitas jahatnya tumpang tindih dengan FIN11 dan TA505 (dikenal menggunakan Clop).
Truebot adalah modul tahap pertama yang dapat mengumpulkan informasi dasar dan mengambil tangkapan layar. Itu juga mengekstraksi informasi hubungan kepercayaan Direktori Aktif yang membantu aktor ancaman merencanakan aktivitas pasca-infeksi.
Alat eksfiltrasi data teleport baru
Pada fase pasca-kompromi, peretas menggunakan Truebot untuk menjatuhkan beacon Cobalt Strike atau malware Grace (FlawedGrace, GraceWire), yang dikaitkan dengan kelompok penjahat dunia maya TA505.
Setelah itu, penyusup menyebarkan Teleport, yang digambarkan Cisco sebagai alat kustom baru yang dibangun di C++ yang membantu peretas mencuri data secara diam-diam.
Saluran komunikasi antara Teleport dan server C2 dienkripsi. Operator dapat membatasi kecepatan unggah, memfilter file berdasarkan ukuran untuk mencuri lebih banyak, atau menghapus muatan. Semua ini dirancang untuk menjaga profil rendah pada mesin korban.
Teleportasi juga menampilkan opsi untuk mencuri file dari folder OneDrive, mengumpulkan email Outlook korban, atau menargetkan ekstensi file tertentu.
Dalam beberapa kasus, penyerang menyebarkan ransomware Clop setelah berpindah secara lateral ke sebanyak mungkin sistem dengan bantuan Cobalt Strike.
Aktivitas silence gang
Silence melanjutkan serangan mereka dan dalam tiga tahun antara 2016 dan 2019 mereka mencuri setidaknya $4,2 juta dari bank-bank di bekas Uni Soviet, Eropa, Amerika Latin, dan Asia,
Pada dasarnya, mereka hanya menyerang organisasi di Russia namun Silence memperluas kemampuan mereka hingga titik global.
sumber : bleeping computer
