VMware的Carbon Black Managed Detection and Response（MDR）團隊於2023年5月開始注意到TrueBot活動出現激增情況。TrueBot，也被稱為Silence.Downloader，從2017年就開始出現。TrueBot由一個名為“Silence Group”的網絡犯罪集團開發，最近的版本使用Netwrix漏洞進行攻擊。在本文中，我們將詳細解析在客戶環境中所觀察到的情況，以及Carbon Black MDR如何檢測和應對這威脅。

正如其名所示，TrueBot是一個下載型木馬殭屍網絡，使用命令和控制伺服器來收集受感染系統的信息，並將該受感染系統作為進一步攻擊的發射點，就像最近出現的Clop勒索軟件攻擊一樣。

TrueBot一向以利用電郵傳播其惡意軟件而聞名，但最近被發現使用Netwrix漏洞作為它們的傳播方式。VMware的MDR團隊已在客戶環境中首次見證了這種漏洞的使用，下面將進行探討。TrueBot還使用Raspberry Robin（一種蠕蟲）作為傳播手法。

雖然Silence Group以針對銀行和金融機構為人所知，但TrueBot也曾被發現針對教育領域進行攻擊。Group-IB將Silence Group與俄羅斯的EvilCorp（Indrik Spider）聯繫在一起，原因是它們使用類似的下載器。MDR團隊已經探究了這個聯繫，並沒有找到實質性的證據來支持這一說法。

研究人員認為EvilCorp與TrueBot有聯繫，因為當TrueBot破壞了網絡，他們就會安裝 是一種由EvilCorp產生的惡意軟件——FlawedGrace 遠程訪問木馬程式，命令將他們的特權升級，但惡意軟件運營者亦可直接從EvilCorp購買這個工具的使用權。另一個被探討的聯繫是TrueBot使用Clop勒索軟件為payload，這個勒索軟件之前被EvilCorp使用過。然而，Clop是一種勒索軟件即服務（ransomware-as-a-service），因此任何人都可以購買這個工具的使用權。最後，Silence是一個使用俄羅斯網路服務的犯罪組織，儘管EvilCorp也是俄羅斯的，但這並不是將這兩者聯繫在一起的有力證據，因為有數十個來自俄羅斯的進階持續性滲透攻擊（Advanced Persistent Threat, APT）。根據這些研究結果，我們無法確定EvilCorp和TrueBot是否有聯繫。

文章來源：VMware