Web Content Extractor

加拿大網絡安全中心與FBI和其他美國機構聯合發布了一份關於“Truebot”惡意軟件攻擊不斷增加的聯合警報。

根據7月6日的警報，黑客利用安全軟件的漏洞，入侵加拿大和美國的組織的計算機網絡，以獲取敏感數據以謀取經濟利益。受影響軟件的公司表示，超過7,000個組織依賴所謂的Netwrix Auditor，其中包括來自保險、金融、醫療和法律領域的客戶。

渥太華卡爾頓大學計算機科學副教授Anil Somayaji在周四通過電話告訴CTVNews.ca：“為了使安全程序正常運行，需要較高級別的訪問權限，因此如果它被入侵...攻擊者就獲勝了。這是一種最糟糕的漏洞，出現在非常敏感的軟件中，而這些軟件恰恰部署在那些對安全性非常關注的地方。”

總部位於德克薩斯州的Netwrix敦促客戶升級軟件，並確保運行該軟件的係統與互聯網斷開連接。
Netwrix首席安全官Gerrit Lansing在向CTVNews.ca發表的聲明中表示：“與部署最佳實踐相反，這個漏洞可能允許攻擊者在暴露於互聯網的Netwrix Auditor係統上執行任意代碼。反過來，攻擊者將能夠在滲透的網絡中運行枚舉攻擊並進行權限提升嚐試。枚舉和權限提升這兩種活動是任何網絡攻擊的核心。”

Netwrix Auditor被宣傳為組織可以使用的數字工具，用於“檢測安全威脅、證明合規性並提高IT團隊的效率”。

Netwrix Auditor網站宣傳稱：“減少IT風險，主動發現威脅。通過確定您的關鍵數據和基礎設施安全漏洞以及揭示寬鬆的權限，降低對關鍵資產的風險。”

Somayaji表示，正是由於軟件和被稱為遠程代碼執行的攻擊的本質，黑客才能訪問整個計算機係統和Netwrix Auditor設計用於保護的敏感數據。

“一旦被感染，他們基本上就控製了這些係統，然後他們可以...加密您的所有數據，這樣現在隻有攻擊者才能解密它，”Somayaji說道。Somayaji的研究興趣包括計算機安全和入侵檢測。“這就是勒索軟件的想法：我加密了你的數據，如果你想要恢複，你必須為密鑰付費，否則你將永遠無法恢複它。”

加拿大網絡安全中心是加拿大的網絡安全和數字情報機構，隸屬於通信安全局（CSE）。該機構與美國聯邦調查局（FBI）、網絡安全和基礎設施安全局（CISA）以及美國多州信息共享與分析中心（MS-ISAC）一起發布了有關這種新網絡威脅的聯合警報。

Somayaji說：“每當你看到這些事情出現，就好像冰山的一角。加拿大網絡安全中心、CISA和FBI發表這樣的新聞稿，這讓我認為一些重要的參與者正在使用這些東西。”

私人安全研究人員稱，Truebot惡意軟件最早於2017年被發現，據說它可以追溯到號稱使用俄語的Silence Group的黑客，該組織據稱針對前蘇聯國家和其他全球金融機構進行攻擊。CSE的一位發言人表示，他們“無法驗證這些發現”。

CSE的發言人解釋說：“Truebot惡意軟件的早期版本依賴於惡意釣魚郵件，通過誘使收件人點擊超鏈接來執行惡意軟件，從而滲透係統。最近，網絡威脅行動者添加了一種新策略，利用Netwrix Auditor軟件中的一個遠程代碼執行漏洞（稱為CVE-2022-31199）來啟動惡意軟件，基本上消除了釣魚攻擊所需的人為錯誤。”

加拿大網絡安全中心敦促受影響的IT運營商閱讀其技術警報和網絡安全谘詢，以獲取更多信息和解決方案。

Somayaji表示，Netwrix並非第一家麵臨此類入侵的安全軟件公司。

Somayaji說：“如果你回顧過去，許多安全產品都被發現存在嚴重漏洞。這其中有些可能隻是為了賺錢，有些可能是情報機構，還有些可能隻是一些對某事有怨言的個人。”