米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)はこのほど、「Increased Truebot Activity Infects U.S. and Canada Based Networks|CISA」において、TrueBotマルウェアの新たな亜種を悪用する脅威者の存在について伝えた。米国連邦調査局(FBI: Federal Bureau of Investigation)、米多州間情報共有・分析センター(MS-ISAC: Multi-State Information Sharing & Analysis Center)、カナダサイバーセキュリティセンター(CCCS: Canadian Centre for Cyber Security)と共同の下、Truebotの新たな亜種による脅威について警告している。
Truebot(別名Silence.Downloader)は、CL0Pランサムウェアグループなどのサイバー犯罪者グループが被害者から機密情報の収集および漏洩させるために悪用しているボットネット。2023年5月31日時点で、このマルウェアを積極的に悪用している脅威者が増加していることが確認されている。
以前のTruebot亜種は、悪意のあるフィッシングメールの添付ファイルを介して配信されていたという。新たなバージョンでは、脅威者がCVE-2022-31199を積極的に悪用して初期アクセスを獲得し、侵害された環境内でマルウェアを展開していることがわかった。
CVE-2022-31199はNetwrix Auditorに存在するリモートコード実行(RCE: Remote Code Execution)の脆弱性。共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)のスコア値が9.8に分類され、深刻度が緊急(Critical)と位置づけられており注意が必要。パッチが提供されており、バージョン10.5へのアップデートが推奨されている。
CISAが提供しているTrueBotの新たな亜種に関するガイダンスを確認するとともに、推奨されている緩和策を実施することが勧められている。