Een toenemend aantal organisaties in Canada en de Verenigde Staten raakt besmet met de Truebot-malware, wat gebeurt via een kritieke kwetsbaarheid in Netwrix Auditor en phishingaanvallen, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Truebot is een remote access tool waarmee aanvallers toegang tot een besmet systeem krijgen, data kunnen stelen en aanvullende malware kunnen installeren. Zo wordt Truebot volgens het CISA gebruikt door de criminelen achter de Clop-ransomware.

In eerste instantie werd voor de verspreiding van Truebot gebruikgemaakt van malafide e-mailbijlagen. De nieuwste versies van de malware worden echter verspreid door middel van een kwetsbaarheid in Netwrix Auditor, aangeduid als CVE-2022-31199. Netwrix Auditor is een platform waarmee organisaties allerlei zaken op de systemen van gebruikers en ander "it-assets" kunnen monitoren.

Door middel van CVE-2022-31199 kan een ongeauthenticeerde aanvaller willekeurige code op Netwrix Auditor-servers uitvoeen. Aangezien deze service vaak met verhoogde rechten binnen een Active Directory-omgeving draait, kan de aanvaller zo het volledige Active Directory-domein compromitteren en op gemonitorde systemen code met systeemrechten uitvoeren. Via de gecompromitteerde server wordt zo de Truebot-malware op gemonitorde systemen geïnstalleerd.

Vorig jaar juni kwam er met Netwrix Auditor versie 10.5 een oplossing. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Organisaties die de update nog niet hebben geïnstalleerd worden door het CISA opgeroepen dit te doen, aangezien aanvallers al maandenlang actief misbruik van het beveiligingslek maken. Volgens de Amerikaanse overheidsinstantie is het primaire doel van Truebot om gevoelige gegevens van besmette systemen te stelen en organisaties hiermee af te persen.