CEVICAS GROUP - Centro Virtual de Capacitación en Seguridad Informática -el Conocimiento Fácil-

Inglés Frances Alemán Español Italiano Holandés Ruso Portugués Japonés Koreano Arabe Chino Simplificado

En nuestro "CEVICAS Group" nos abocamos a la enseñanza personalizada sobre Seguridad Informática, capacitamos a las personas para entender todos los aspectos que atenten contra dicha Seguridad y luego de forma muy clara y sin apresurarse, las guiamos hacia la instrumentación de las "Contra-medidas" necesarias para la Securización de la Información, el Hardware asociado y el factor Humano circundante."

En esta sección se presentan las últimas noticias sobre Ciberseguridad


|News Julio 2k20 (4)| |News Agosto 2k20 (5)| |News Septiembre 2k20 (4)| |News Octubre 2k20 (5)| |News Noviembre 2k20 (4)| |News Diciembre 2k20 (4)| |News Enero 2k21 (5)| |News Febrero 2k21 (4)| |News Marzo 2k21 (4)| |News Abril 2k21 (4)|

Un nuevo rootkit sigiloso se infiltra en las redes de organizaciones de alto nivel

Autor: Ravie Lakshmanan

Traducción: Leandro Di Dio

Fecha: 07/05/2021

Un atacante desconocido con capacidades para evolucionar y adaptar su conjunto de herramientas a los entornos objetivos infiltrados en organizaciones de alto nivel en Asia y África con un rootkit evasivo de Windows desde al menos 2018.

Denominado "Moriya", el malware es un "backdoor pasivo que permite a los atacantes inspeccionar todo el tráfico de entrada de la máquina infectada, filtrar paquetes que están marcados y diseñados por el malware y responder a ellos" Dijeron los investigadores de Kaspersky, Mark Lechtik y Giampaolo Dedola el día jueves.

La firma de ciberseguridad rusa denominó a la campaña de espionaje en curso 'TunnelSnake'. Basado en análisis telemétrico, menos de 10 víctimas alrededor del mundo han sido atacadas hasta la fecha, con los más prominentes objetivos siendo dos grandes entidades diplomáticas en el sureste asiatico y en África. Las otras víctimas fueron localizadas en el sur de Asia.

Los primeros reportes de Moriya emergieron en noviembre pasado cuando Kaspersky dijo que descubrió el sigiloso implante en las redes regionales de organizaciones intergubernamentales en Asia y África. Actividades maliciosas asociadas con la operación se dice que se remonta a noviembre de 2019, con el rootkit persistente en las redes de las víctimas durante varios meses después de la infección inicial.

"Esta herramienta fue usada para controlar los servidores de cara al público en esas organizaciones estableciendo un canal encubierto con un servidor C2 y pasando comandos shell y sus salidas al de C2" Dijo la empresa en su informe de tendencias de APT para Q3 2020 "Esta capacidad es facilitada al usar el kernel Windows en modo driver"

Los rootkits son particularmente peligrosos cuando les permite a los atacantes ganar altos privilegios en el sistema, habilitandolos a poder interceptar el núcleo de operaciones de entrada/salida conducido por el sistema operativo subyacente y se integra mejor en el paisaje, lo que dificulta el rastreo de las huellas digitales del atacante.

Microsoft, por su parte, ha implementado varias protecciones en Windows a lo largo de los años para prevenir el despliegue y la ejecución de rootkits, lo que hace que Moriya sea aún más notable.

El grueso del conjunto de herramientas, aparte del backdoor, consiste en piezas de malware propietarias y bien conocidas, tales como China Chopper web shell, BOUNCER, Earthworm, y Termite que han sido previamente usadas por atacantes de habla chino, dando una señal del origen de los atacantes. Las tácticas, técnicas y procedimientos (TTPs) utilizados en los ataques también muestran que las entidades objetivos encajan en el patrón victimológico asociado a los adversarios de habla china.

Estas revelaciones se producen en un momento en que las amenazas persistentes avanzadas (APT) siguen intensificando sus misiones de robo de datos altamente selectivos mientras, simultáneamente, hacen todo lo posible para pasar desapercibido el mayor tiempo posible, reconstruyendo su arsenal de malware, haciéndolas más a medida, complejas y difíciles de detectar.

"La campaña de TunnelSnake demuestra la actividad de un atacante sofisticado que invierte recursos significativos en diseñar un conjunto de herramientas evasivas e infiltrarse en las redes de organizaciones de alto nivel" Dijeron Lechtik y Dedola. "Aprovechando los controladores de Windows, canales de comunicación encubiertos y malware propietario, el grupo detrás de esto mantiene un considerable nivel de sigilo"

Fuente: The Hacker News

Comparte en twitter Comparte en Facebook Comparte en Whatsapp Comparte en LinkedIn Comparte por mail



Investigadores descubren malware sigiloso de Linux que no fue detectado durante 3 años

Autor: Ravie Lakshmanan

Traducción: Leandro Di Dio

Fecha: 29/04/2021

Un malware de Linux, previamente indocumentado, con capacidades de backdoor se las ha arreglado para estar sin ser descubierto durante tres años, permitiéndole al atacante detrás de la operación recolectar y exfiltrar información confidencial de los sistemas infectados.

Denominado por los investigadores de Qihoo 360 NETLAB como "RotaJakiro", el backdoor apunta a las máquinas Linux X64, y se lo denomina de esa manera por el hecho de que "la familia usa encriptación rotativa y se comporta de forma diferente para cuentas root/no root cuando es ejecutado".

Los descubrimientos surgieron de un análisis de una muestra de malware detectada el 25 de marzo, aunque las primeras versiones parecen haber sido descargadas en VirusTotal desde mayo de 2018. Un total de cuatro muestras han sido encontradas hasta la fecha en la base de datos, todas ellas permanecen sin ser detectadas por los motores antimalwares. Al momento de escribir, solo siete proveedores de seguridad señalan la última versión del malware como maliciosa.

"En el nivel funcional, RotaJakiro primero determina si el usuario es root o no root al momento de ejecución, con diferentes políticas de ejecución para distintas cuentas, luego desencripta los recursos relevantes usando AES& ROTATE para la persistencia posterior, protegiendo los procesos y uso de una sola instancia, y finalmente establece conexión con C2 y espera por la ejecución de comandos emitidos por C2" Explicó el investigador.

RotaJakiro está diseñado para el sigilo, confiando en una combinación de algoritmos criptográficos para cifrar sus comunicaciones con un servidor de comando y control (C2), además de tener soporte para doce funciones que se encargan de recopilar los metadatos del dispositivo, robar información sensible, llevar a cabo operaciones relacionadas con archivos, y descargar y ejecutar plugins extraídos del servidor C2.

Pero no hay evidencia que arroje luz sobre la naturaleza de los plugins, la verdadera intención detrás del malware no está clara. Curiosamente, algunos de los dominios C2 se registraron desde diciembre de 2015, y los investigadores también observaron superposiciones entre RotaJakiro y una botnet llamada Torii.

"Desde la perspectiva de ingeniería inversa, RotaJakiro y Torii se comportan de forma similar: el uso de algoritmos de encriptación para esconder recursos sensibles, la implementación de un estilo de persistencia bastante antigua, tráfico de red estructurado, etc." Dijeron los investigadores "No sabemos la respuesta exacta, pero parece que RotaJakiro y Torii tienen algunas conexiones"

Fuente: The Hacker News

Comparte en twitter Comparte en Facebook Comparte en Whatsapp Comparte en LinkedIn Comparte por mail



¡ESPERA NO TE RETIRES AUN¡ ANTES QUIERO ¡REGALARTE UN LIBRO!

TU INFORME GRATIS YA


AUTOR: Ing. Diego Barrientos

Quien los capacita en Seguridad Informática

FORMACION DEL AUTOR: Ing.Sistemas (UTN) - CCNA/CCNP (Cisco) -Ethical Hacker (Cortech) - MCSA (Microsoft) - Tec. en Electronica (Rep-Francesa) - Diplomado en Seguridad (Next-Vision) - Docente, Instructor y Amigo


E-MAIL DE CONTACTO: info@cevicas.com

PAGINA PRINCIPAL: www.cevicas.com

REDES SOCIALES: www.facebook.com/CevicasGroup https://twitter.com/cevicas https://youtube.com/cevicas Suscripción Gratuita y REGALO

¡Quieres saber mas de mí, mira este video!




Argentina - Mar del Plata - 2020 | Designed by -785 & M!L- | |Powered by FREE Software|

Protected by Copyscape Website Copyright Protection

velocidad de los dias la zona en la que me mude la flia