Alerte - Les activités Truebot accrues infectent des réseaux canadiens et américains – Bulletin de cybersécurité conjoint

Auditoire

La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le 6 juillet 2023, le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) s’est joint à ses partenaires de la cybersécurité, de la Cybersecurity and Infrastructure Security Agency (CISA), du Federal Bureau of Investigation (FBI) et du Multi-State Information Sharing and Analysis Center (MS-ISAC) pour publier un bulletin de cybersécurité (CSA) conjoint en réponse aux auteurs de cybermenaces qui tirent parti des nouvelles variantes du maliciel Truebot visant des organismes canadiens et américains.^{Note de bas de page 1}

Truebot est un réseau zombie dont se servent des groupes malveillants pour recueillir et exfiltrer des données sensibles de ses victimes pour obtenir un gain financier. Les campagnes d’hameçonnage précédemment utilisées ont été réussites. Cependant, plus récemment le 31 mai 2023, la vulnérabilité CVE-2022-31199 a été exploité pour obtenir l’accès initial. Cette vulnérabilité est liée à l’exécution de code à distance dans l’application Netwrix Auditor qui peut être exploitée pour déployer des maliciels à grande échelle dans le réseau compromis. Un rapport de source ouverte et des résultats analytiques indiquent que les auteurs de cybermenaces ont utilisé des campagnes d’hameçonnage ayant des hyperliens malveillants de redirection et l’exploitation de la vulnérabilité CVE-2022-31199 pour déployer les nouvelles variantes du maliciel Truebot.

Ce bulletin conjoint est publié pour offrir de l’information sur les variantes du maliciel Truebot. Le bulletin de cybersécurité (CSA) contient des détails techniques sur le maliciel, les indicateurs de compromission (IC), les tactiques, techniques et procédures (TTP) utilisées par les auteurs de menace, les méthodes de détection et les mesures d’atténuation. Des conseils supplémentaires sont offerts dans le Guide sur les rançongiciels (ITSM.00.099) ^{Note de bas de page 2} et Les 10 mesures de sécurité des TI visant à protéger les réseaux Internet et l’information (ITSM.00.089) ^{Note de bas de page 3} du Centre pour la cybersécurité. Ces publications sont basées sur une analyse des tendances des cybermenaces pour aider à minimiser les intrusions ou les répercussions de cyberintrusions réussites.

Les organismes auteurs recommandent de consacrer des efforts à la détection des activités malveillantes au moyen des recommandations formulées dans le bulletin de cybersécurité en question afin de réduire les probabilités et les répercussions de futurs incidents.

S’ils relèvent des activités semblables aux informations fournies dans la présente alerte, les destinataires sont invités à le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.