マルウェア「TrueBot」によるフィッシング攻撃が拡大している。このマルウェアは幾つかの脆弱性を悪用して被害を着々と拡大しているようだ。
この記事は会員限定です。会員登録すると全てご覧いただけます。
米国連邦捜査局(FBI)および米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、MS-ISAC(Multi-State Information Sharing and Analysis Center)、Canadian Centre for Cyber Securityなどの関係者は2023年7月6日(現地時間、以下同)、米国やカナダを狙ったフィッシング攻撃に、マルウェア「TrueBot」(別名:Silence Downloader、Truecore)が利用されているとして注意喚起した(注1)。
CISAはTrueBotについて、「Clopなどのランサムウェアグループなどが使用するbotネットであり、組織からデータを収集し、流出させるために利用されている」と述べた。
サイバー攻撃者は2023年5月下旬以降、ITシステム変更管理ソフトウェア「Netwrix Auditor」の脆弱(ぜいじゃく)性であるCVE-2022-31199を悪用し、TrueBotの変種を配信してターゲットからデータを盗むための初期アクセスを実行している。
NetwrixのCSO(最高戦略責任者)であるゲリッド・ランシング氏によると、Netwrix Auditorは、クラウドとオンプレミスの両方でデータやITインフラにおけるセキュリティ措置のギャップを特定するために使用されるソフトウェアだ。現在7000社以上の組織が使用しているとされる。
ランシング氏は「サイバー攻撃者はデプロイメントのベストプラクティスに反してCVE-2022-31199を使ってインターネットに公開されているNetwrix Auditorシステムにおいて任意のコードを実行できる可能性がある」と指摘した。
Netwrixは2022年6月、脆弱性の修正を含むNetwrix Auditorのバージョン10.5.10936.0をリリースした。同社は顧客に対して、ソフトウェアをインターネットに公開しないようにアドバイスしており、インターネットに公開している顧客は、アクセスを即座にブロックする必要があると指摘する。
「ソフトウェアをインターネットに公開していない顧客のリスクは低いが、全ての顧客がバージョン10.5.10977.0にアップデートする必要がある」(ランシング氏)
EDR(Endpoint Detection and Response)製品「VMware Carbon Black」のMDR(Managed Detection and Response)チームの研究者は2023年6月1日(注2)、2017年から流通しているTrueBotを使ったサイバー攻撃が急増していることを報告している。
同研究者によると、TrueBotは標的に関する情報をコマンド&コントロールサーバ(C2サーバ)を通じて収集し、その後に侵害したシステムを利用して追加の攻撃を実行する。
同研究者は、これらに加えて、脅威アクターのSilence Groupは最近、Netwrix Auditorを悪用してTrueBotを積極的に開発していることも指摘しいている。Silence Groupは以前、主に銀行をはじめとした金融機関を標的にしていたことが知られているが、最近では教育部門を標的にした攻撃を実行しているという。
TrueBotは以前、ユーザーをだまして悪意のあるハイパーリンクをクリックさせてマルウェアを配信していた。一部のケースでは、電子メールの添付ファイルがソフトウェアの更新通知に偽装されていた。悪意のあるファイルがダウンロードされると、マルウェアは自らの名前を変更し、ホストシステムにトロイの木馬「FlawedGrace」を読み込ませる。
Mandiantの研究者によると、脅威アクターFIN11は多様な方法でTrueBotを配信していると指摘した。同グループはこれまで米国やカナダ、イギリス、オーストラリア、コロンビア、ドイツで被害者を出している。
Google Cloudで金融犯罪の分析を担当するMandiantのリードアナリストであるジェレミー・ケネリー氏は「手法の多様化は、FIN11が配信脅威クラスタとパートナーシップを結んでいるか、新しいチームメンバーを募集している可能性を示唆している」と述べた。
ケネリー氏によると、人気のあるソフトウェアブランドを装ったWebサイトや、ファイル転送ツール「GoAnywhere MFT」の脆弱性(CVE-2023-0669)、SolarWindsのサーバソフト「Serv-U」の脆弱性(CVE-2021-35211)を悪用してTrueBotが拡大しているという。
(注1)Increased Truebot Activity Infects U.S. and Canada Based Networks(CISA)
(注2)Carbon Black’s TrueBot Detection(VMware)
(注3)Netwrix Statement on CVE-2022-31199(Netwrix)
© Industry Dive. All rights reserved.