Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers exploram falha do Netwrix Auditor RCE em ataque de malware Truebot

Um malware Truebot rec√©m-descoberto tem como alvo organiza√ß√Ķes sediadas nos EUA e no Canad√° para exfiltrar informa√ß√Ķes confidenciais, explorando vulnerabilidades no aplicativo Netwrix Auditor (CVE-2022-31199).

O malware Truebot é um botnet entregue por meio de campanhas de phishing para atacar as vítimas, agora explorando a vulnerabilidade para obter acesso à máquina.

CISA e FBI emitir avisos em conjunto sobre o aumento da atividade desta nova variante de malware.

Ataque de malware Truebot:

O aumento da atividade do truebot foi observado desde 31 de maio de 2023 e presume-se que seja usado por Gangue de ransomware CL0P.

A entrega da carga √ļtil √© conseguida atrav√©s de tentativas de phishing ou atrav√©s da explora√ß√£o da vulnerabilidade.

A carga √ļtil foi ocultada como uma notifica√ß√£o leg√≠tima de atualiza√ß√£o de software e foi entregue por e-mail para induzir os usu√°rios a execut√°-la.

Assim que o usu√°rio executa o e-mail, ele redireciona para um dom√≠nio malicioso e arquivos de script ser√£o executados para coletar as informa√ß√Ķes.

Explorar:

Netwrix Auditor é um software usado para auditoria de sistemas de TI locais e baseados em nuvem. Os invasores utilizam a vulnerabilidade de execução remota de código (CVE-2022-31199) neste software para movimento lateral.

Emprega diversas ferramentas e t√©cnicas para alcan√ßar persist√™ncia; inicialmente, ele carrega o Flawed Grace, uma ferramenta de acesso remoto para armazenar cargas √ļteis e injetar cargas adicionais em tarefas agendadas para estabelecer a conex√£o com o servidor C2.

Mais tarde, ele carrega beacons Cobalt Strike na mem√≥ria em modo inativo para opera√ß√Ķes adicionais.

Atrav√©s de solicita√ß√Ķes POST, ele estabelece comunica√ß√£o bilateral com o servidor C2, que baixa cargas adicionais e se auto-replica em todo o ambiente.

A melhor prática para mitigar esse ataque é corrigir a vulnerabilidade e atualizar os aplicativos e softwares usados. E aplique controles para evitar tentativas de execução remota.

N√≥s recomendamos:  O registro da vacina COVID-19 come√ßa atrav√©s do portal CoWIN, integra mapas MapmyIndia e APIs para ajudar as pessoas a procurar centros de vacina√ß√£o pr√≥ximos

Indicador de compromisso:

Hash MD5 F33734DFBBFF29F68BCDE052E523C287
Hash MD5 F176BA63B4D68E576B5BA345BEC2C7B7
Hash MD5 F14F2862EE2DF5D0F63A88B60C8EEE56
Hash MD5 6164e9d297d29aa8682971259da06848
SHA256 121A1F64FFF22C4BFCEF3F11A23956ED403CDEB9BDB803F9C42763087BD6D94E
MD5 72A589DA586844D7F0818CE684948EEA
SHA256 717BEEDCD2431785A0F59D194E47970E9544FBF398D462A305F6AD9A1B1100CB
SHA256 C92C158D7C37FEA795114FA6491FE5F145AD2F8C08776B18AE79DB811E8E36A3