最近 Truebot 感染数量的增加归因于名为 Silence Group 的威胁行为者。Silence Group 是一家初始访问代理 (IAB)，它经常更改工具和策略以保持领先地位。IAB 的主要任务是找到弱点或弱点，在网络中建立立足点，并进行一些探索性工作以找出目标的吸引力。完成此操作后，他们可以将访问权限出售给另一个威胁参与者，例如勒索软件组。对于这些任务，Truebot 是 Silence Group 中的首选工具。

Silence Group 似乎与 Clop 勒索软件背后的组织有着密切的关系，通常被称为TA505。反过来，这与 FIN11 组有很大的重叠。

真宝

研究人员发现了两个独立的 Truebot 僵尸网络。其中一个似乎集中在美国，而另一个主要集中在墨西哥、巴基斯坦和巴西。

在撰写有关Raspberry Robin 蠕虫病毒最近活动的文章时，我们谈到了第二个。这种蠕虫的使用，结合利用 Netwrix 漏洞的攻击向量，似乎已经为创建遍布全球的 1,000 多个系统的僵尸网络奠定了基础。

另一个僵尸网络几乎完全由 Windows 服务器组成，直接连接到互联网，并暴露了 SMB、RDP 和 WinRM 等多种 Windows 服务。用于建立此僵尸网络的攻击向量尚未确定，但研究人员确信它不同于其他僵尸网络、Raspberry Robin 和 Netwrix 漏洞 ( CVE-2022-31199 ) 所使用的攻击向量。

新版本

Truebot 的核心是一个Trojan.Downloader。因此，对于想要在系统上植入后门并对网络进行一些基本侦察的 IAB 组织来说，它是一种理想的恶意软件。出于这些目的，这个新版本的 Truebot 收集了以下信息:屏幕截图、计算机名称、本地网络名称和活动目录信任关系。Active Directory 信任关系允许组织跨域共享用户和资源。

还有一个新的地方是，这个版本现在能够在内存中加载和执行额外的模块和 shellcode，使有效负载无文件恶意软件更不容易被检测到。

渗透

除了通常用作后门的嫌疑人 Cobalt Strike 和 Grace 之外，研究人员还发现了一种新的数据泄露工具。发现 Grace 作为有效载荷似乎证实了 Silence Group 与 TA505 之间的密切联系，因为 Grace 几乎完全被 TA505 使用。

攻击者广泛使用名为 Teleport 的渗透工具从网络中窃取信息。它似乎是一个用 C++ 构建的自定义数据泄露工具，包含几个使数据泄露过程更容易和更隐蔽的功能。它具有一些在远程复制工具中不常见的功能，但这些功能对于攻击者偷偷窃取数据非常有用。

它限制了上传速度，这可以使传输不会被监控大量数据泄露的工具检测到，并避免降低网络速度。通信被加密以隐藏正在传输的信息。

限制文件大小，这可以通过避免可能不感兴趣的文件的冗长副本来最大化被盗文件的数量。在使用后自行删除的能力，这是让它尽可能不为人知的理想选择。

扑通Ransom.Clop 于 2019 年 2 月首次出现。除了加密系统外，Clop 勒索软件还会泄露数据，如果受害者拒绝支付赎金，这些数据将发布在泄漏站点上。2021 年 2 月，该组织  专门针对高管的系统查找敏感数据，从而成为头条新闻。

减轻

Silence 使用的工具用途广泛，但您可以采取一些合乎逻辑的步骤来保护自己和您的组织:不要将来源不明或不可靠的 USB 驱动器插入您的系统。 在 Windows 中，USB 驱动器的自动运行在默认情况下是禁用的。但是，许多组织已通过旧的组策略更改广泛启用它。如果启用它，这是一个值得重新考虑的策略。尽快安装补丁，尤其是面向互联网的设备。运行主动监视和扫描系统的防病毒/反恶意软件解决方案。Malwarebytes 阻止下载 URL 并将 Truebot 检测为 Malware.AI.{id.nr.}。Clop 勒索软件被检测为 Malware.Ransom.Agent.Generic。