TrueBot azonosítása
A VMware Carbon Black Managed Detection and Response (MDR) csapata 2023 májusában kezdte észlelni a TrueBot tevékenység felfutását. A TrueBot, vagy Silence.Downloader már 2017 óta ismert, de folyamatosan aktív és fejlesztése alatt áll.
A TrueBot egy trójai botnet, amely parancs- és vezérlőszervereket használ a feltört rendszerekre vonatkozó információk gyűjtésére, és ezt a kompromittált rendszert további támadások kiindulópontjaként használja, amint azt a közelmúltban a Clop Ransomware tette.
Bár a Silence Group nevű fenyegetettségi csoportot tulajdonítják ennek a kártevőnek, a Group-IB összekapcsolta a csoportot az orosz EvilCorp-pal (Indrik Spider), mivel az általuk használt letöltők hasonlóak. Az MDR csapata megvizsgálta ezt a linket, és nem talált lényeges bizonyítékot az állítás alátámasztására.
A Cisco Talos csapata is vizsgálta korábban a TrueBot aktivitást és szintén osztott meg IoC-kat.
A VMware Carbon Black megosztotta az azonosításhoz szükséges mutatókat.