Web Content Extractor

加拿大网络安全中心与FBI和其他美国机构联合发布了一份关于“Truebot”恶意软件攻击不断增加的联合警报。

根据7月6日的警报，黑客利用安全软件的漏洞，入侵加拿大和美国的组织的计算机网络，以获取敏感数据以谋取经济利益。受影响软件的公司表示，超过7,000个组织依赖所谓的Netwrix Auditor，其中包括来自保险、金融、医疗和法律领域的客户。

渥太华卡尔顿大学计算机科学副教授Anil Somayaji在周四通过电话告诉CTVNews.ca：“为了使安全程序正常运行，需要较高级别的访问权限，因此如果它被入侵...攻击者就获胜了。这是一种最糟糕的漏洞，出现在非常敏感的软件中，而这些软件恰恰部署在那些对安全性非常关注的地方。”

总部位于德克萨斯州的Netwrix敦促客户升级软件，并确保运行该软件的系统与互联网断开连接。
Netwrix首席安全官Gerrit Lansing在向CTVNews.ca发表的声明中表示：“与部署最佳实践相反，这个漏洞可能允许攻击者在暴露于互联网的Netwrix Auditor系统上执行任意代码。反过来，攻击者将能够在渗透的网络中运行枚举攻击并进行权限提升尝试。枚举和权限提升这两种活动是任何网络攻击的核心。”

Netwrix Auditor被宣传为组织可以使用的数字工具，用于“检测安全威胁、证明合规性并提高IT团队的效率”。

Netwrix Auditor网站宣传称：“减少IT风险，主动发现威胁。通过确定您的关键数据和基础设施安全漏洞以及揭示宽松的权限，降低对关键资产的风险。”

Somayaji表示，正是由于软件和被称为远程代码执行的攻击的本质，黑客才能访问整个计算机系统和Netwrix Auditor设计用于保护的敏感数据。

“一旦被感染，他们基本上就控制了这些系统，然后他们可以...加密您的所有数据，这样现在只有攻击者才能解密它，”Somayaji说道。Somayaji的研究兴趣包括计算机安全和入侵检测。“这就是勒索软件的想法：我加密了你的数据，如果你想要恢复，你必须为密钥付费，否则你将永远无法恢复它。”

加拿大网络安全中心是加拿大的网络安全和数字情报机构，隶属于通信安全局（CSE）。该机构与美国联邦调查局（FBI）、网络安全和基础设施安全局（CISA）以及美国多州信息共享与分析中心（MS-ISAC）一起发布了有关这种新网络威胁的联合警报。

Somayaji说：“每当你看到这些事情出现，就好像冰山的一角。加拿大网络安全中心、CISA和FBI发表这样的新闻稿，这让我认为一些重要的参与者正在使用这些东西。”

私人安全研究人员称，Truebot恶意软件最早于2017年被发现，据说它可以追溯到号称使用俄语的Silence Group的黑客，该组织据称针对前苏联国家和其他全球金融机构进行攻击。CSE的一位发言人表示，他们“无法验证这些发现”。

CSE的发言人解释说：“Truebot恶意软件的早期版本依赖于恶意钓鱼邮件，通过诱使收件人点击超链接来执行恶意软件，从而渗透系统。最近，网络威胁行动者添加了一种新策略，利用Netwrix Auditor软件中的一个远程代码执行漏洞（称为CVE-2022-31199）来启动恶意软件，基本上消除了钓鱼攻击所需的人为错误。”

加拿大网络安全中心敦促受影响的IT运营商阅读其技术警报和网络安全咨询，以获取更多信息和解决方案。

Somayaji表示，Netwrix并非第一家面临此类入侵的安全软件公司。

Somayaji说：“如果你回顾过去，许多安全产品都被发现存在严重漏洞。这其中有些可能只是为了赚钱，有些可能是情报机构，还有些可能只是一些对某事有怨言的个人。”