מומחי סייבר מזהירים מפני וריאנטים חדשים של הרושעה TrueBot. התוכנה הזדונית מטרגטת כרגע חברות בארה"ב ובקנדה, במטרה לשלוף מידע חסוי מהמערכות אליהן היא חודרת.
מדובר במתקפות סייבר מתוחכמות, המנצלות חולשת אבטחה קריטית בשרת Netwrix Auditor. החולשה מאפשרת לתוקפים להריץ קוד זדוני עם הרשאות משתמש של SYSTEM, מה שמעניק להם גישה בלתי מוגבלת למערכות אליהן הם פורצים.
TrueBot הוא סוס טרויאני וחלק מבוטנט. התוכנה משתמשת בשרתי בקרה ושליטה כדי לאסוף מידע ממערכות שנפרצות, ומשתמשת באותן מערכות שנפרצו כנקודת זינוק למתקפות נוספות. TrueBot זוהה כבר ב-2017, וקושר לקבוצת האקרים שנקראת Silence וכנראה עובדת בשיתוף פעולה עם ההאקרים הרוסים מקבוצת Evil Corp. בחלק מהמקרים, המתקפה מתחילה בהתקנת קובץ EXE שיורד למחשב באמצעות הדפדפן כרום, וכנראה שההאקרים מפתים משתמשים להוריד אותו כשהוא מוסווה כעדכון תוכנה כלשהו.
לאחר שמריצים את קובץ ה-EXE, הוא מתחבר לכתובת IP של TrueBot שנמצאת ברוסיה, ומקבל קובץ EXE נוסף, שמופעל על ידי שורת הפקודה של Windows. הקובץ השני מתחבר לדומיין בקרה ושליטה ומוריד אינפורמציה רגישה.
בוקטור התקיפה החדש, התוקפים מנצלים את החולשה בשרת, ומתקינים סוס טרויאני לשליטה מרחוק כדי לקבל הרשאות מתקדמות יותר ולהשתלט ביתר יעילות על המערכת הנגועה. הסוס הטרויאני יכול ליצור משימות מתוזמנות, לשמור מידע מוצפן על השרת הנגוע ולהדביק קבצי EXE.
עד כה הסתמכו התוקפים בעיקר על הדבקה באמצעות קבצים מצורפים לאימייל, אבל החולשה החדשה יחסית בשרת ה-Netwrix Auditor מאפשרת להם לבצע מתקפות רחבות יותר. 13 אלף ארגונים ברחבי העולם משתמשים בשרתים מסוג זה, כולל חברות ידועות כמו איירבאס, ה-NHS בבריטניה וחברת וירג'ין.
המומחים מציעים לארגונים לעדכן את גירסת השרת ל-10.5 ומעלה, לאמץ פרוטוקולים של אימות רב שלבי (MFA), לעקוב אחר סימנים לפריצה למערכות ולדווח לרשויות המתאימות במקרים של מתקפת סייבר.
