Hackers iranies utilizan malware espía que saca provecho de la API del messenger de Telegram

Autor: Ravie Lakshmanan

Traducción: Leandro Di Dio

Fecha: 27/02/22

Un sospechoso del nexo geopolítico iraní fue descubierto desplegando dos nuevos malware que poseen funcionalidades "simples" de backdoor como parte de una intrusión en contra de una entidad gubernamental de Medio Oriente sin nombre en noviembre de 2021.

La compañía de ciberseguridad Mandiant atribuyó el ataque a un grupo no categorizado que está rastreado bajo el nombre de UNC3313, que se evalúa con "confianza moderada" como asociado con el grupo patrocinado por el estado MuddyWater.

"UNC3313 realiza vigilancia y recolecta información estratégica para apoyar las tomas de decisiones e intereses iraníes." Dijeron los investigadores Ryan Tomcik, Emiel Haeghebaert, y Tufail Ahmed. "Los patrones de focalización y los señuelos relacionados demuestran un fuerte enfoque en objetivos con un nexo geopolítico"

A mitad de enero del 2022, las agencias de inteligencia caracterizaron a MuddyWater (también conocido como Static Kitten, Seedworm, TEMP.Zagros o Mercury) como un elemento subordinado del Ministerio de Inteligencia y Seguridad Iraní (MOIS) que ha estado activo desde, al menos, el 2018 y es conocido por usar un amplio rango de herramientas y técnicas en sus operaciones.

Los ataques, se dicen, han sido orquestados por mensajes de spear-phishing para ganar acceso inicial, seguido de tomar ventaja de herramientas de seguridad ofensiva disponibles públicamente y software de acceso remoto para movimiento lateral y mantener el acceso al ambiente.

Los mails phishing fueron elaborados con un señuelo de promoción laboral y engañó a múltiples victimas que hacían click en la URL para descargar un archivo RAR hosteado en OneHub, que pavimentaba el camino para la instalación de ScreenConnect, un software de acceso remoto legitimo, para hacerse un hueco.

"UNC3313 se movía rápidamente para establecer acceso remoto al utilizar ScreenConnect para infiltrar sistemas después de una hora del compromiso inicial" Advirtieron los investigadores, agregando que el incidente de seguridad fue contenido y remediado.

Las fases subsecuentes del ataque incluían escalada de privilegios, llevar a cabo reconocimiento interno de las redes objetivos, y ejecutar comandos de PowerShell ofuscados para descargar herramientas adicionales y payloads en sistemas remotos.

También se observó un backdoor previamente indocumentado llamado STARWHALE, un Windows Script File (.WSF) que ejecuta comandos recibidos desde un servidor command-and-control (C2) codificado vía HTTP.

Otro implante entregado durante el curso del ataque es GRAMDOOR, denominado así debido al uso de la API de Telegram para sus comunicaciones de redes con el servidor controlado por el atacante en un intento por evadir la detección, una vez destacado el uso de las herramientas de comunicación para facilitar exfiltración de datos.

Los descubrimientos también coinciden con una nueva asesoría conjunta de las agencias de ciberseguridad del Reino Unido y de los Estados Unidos, acusando a la agrupación MuddyWater de espionaje en la defensa, gobierno local, petroleo y gas natural, y sectores de telecomunicación a lo largo del globo.

Fuente: The Hacker News

La agencia de ciberseguridad de USA publica una lista de herramientas y servicios libres de seguridad

Autor: Ravie Lakshmanan

Traducción: Leandro Di Dio

Fecha: 18/02/22

La agencia de infraestructura de seguridad y ciberseguridad de USA (CISA), el viernes, publicó un repositorio de herramientas y servicios libres que le permite a las organizaciones mitigar, detectar y responder efectivamente a los ataques maliciosos y mejorar aún más su postura de seguridad.

El centro de recursos "Servicios y herramientas gratuitos de ciberseguridad" comprende una combinación de 101 servicios provistos por CISA, utilidades open-source, y otros implementos por organizaciones publicas y privadas del sector a lo largo de la comunidad de ciberseguridad.

"Muchas organizaciones, tanto publicas como privadas, son ricos en objetivos y pobres en recursos." Dijo el director de CISA, Jen Easterly, en una declaración. "Los recursos en esta lista ayudarán a las organizaciones a mejorar sus posturas de seguridad, que es particularmente crítica ante el incremento de las amenazas."

El catalogo de herramientas es el ultimo en una cadena de iniciativas lanzadas por CISA para combatir las ciberamenazas y ayudar a las organizaciones a adoptar medidas fundamentales para maximizar la resiliencia al parchear fallas de seguridad en el software, reforzando la autenticación multi factor y deteniendo las malas practicas.

Con ese fin, la agencia lanzó portales dedicados documentando vulnerabilidades explotadas conocidas, procedimientos de ciberseguridad "excepcionalmente riesgosos", guía para resistir infecciones de ransomware así como también amenazas asociadas con nefastas operaciones de información e influencia.

A principios de esta semana, CISA lanzó una campaña "Shields Up (escudos arriba)" notificando a las organizaciones de USA de los potenciales riesgos derivados de las ciberamenazas que pueden interrumpir el acceso a servicios esenciales y, potencialmente, impactar en la seguridad publica.

El desarrollo se produce cuando la agencia lanzó una alerta que detalla los pasos proactivos que las entidades de infraestructura crítica pueden tomar para evaluar y mitigar las amenazas relacionadas con la manipulación de la información, mientras advierte que los avances en comunicaciones y sistemas de red son nuevos vectores de ataque.

"Los delincuentes pueden utilizar tácticas, tales como desinformación y mal información, para moldear la opinión publica, minar la verdad y ampliar la división que puede llevar a impactar en funciones y servicios críticos a lo largo de múltiples sectores." Dijo CISA.

Fuente: The Hacker News

Adobe lanza un parche de emergencia por una vulnerabilidad zero-day en commerce

Autor: Eduard Kovacs

Traducción: Leandro Di Dio

Fecha: 13/02/22

Adobe lanzó una advertencia el domingo para informar a los usuarios de Commerce y Magento de una vulnerabilidad zero-day crítica que ha sido explotada en ataques.

La falla, rastreada como CVE-2022-24086 y asignada con un puntaje CVSS de 9.8, fue descripta como un problema de validación inapropiada de input que puede llevar a la ejecución de código arbitrario. Adobe afirma que la vulnerabilidad puede ser explotada sin autenticación.

La falla de vulnerabilidad afecta a el open source Magento y a las plataformas de Adobe Commerce e-commerce, específicamente a las versiones de 2.4.3-p1 y anteriores, y 2.3.7-p2 y anteriores. Adobe desarrolló parches que fueron distribuidos como MDVA-43395_EE_2.4.3-p1_v1.

El gigante del software dice: "CVE-2022-24086 fue vulnerado con ataques muy limitados dirigidos a comerciantes de Adobe Commerce"

No existe ninguna otra información sobre el ataque y Adobe no ha acreditado a nadie por reportar la vulnerabilidad. SecurityWeek se ha puesto en contacto con la empresa para más detalles.

Las vulnerabilidades de e-commerce son típicamente acosadas con ataques masivos. Un ejemplo reciente incluyó más de 500 tiendas en línea impulsadas por Magento 1 siendo acosadas por cibercriminales cuyo objetivo era plantar web skimmer diseñados para obtener datos de usuarios. Los atacantes explotaron una combinación de fallas y aprovecharon el hecho de que Magento 1 no recibe más actualizaciones de seguridad.

Desde que Adobe eliminó Flash, han habido pocas vulnerabilidades en los productos de la compañía que han sido explotados en ataques. Sin embargo, los bugs en los productos de Adobe aún son vulnerables.

El último mes, Adobe parcheó fallas en Acrobat and Reader en el cual los investigadores ganaron $150000 en la copa de hacking Tianfu en China la cual tomó lugar en octubre del 2021.

Fuente: Security Week

Hackers chinos acosan a instituciones financieras de Taiwan con un nuevo backdoor clandestino

Autor: Ravie Lakshmanan

Traducción: Leandro Di Dio

Fecha: 06/02/22

Una amenaza avanzada persistente (APT) de una agrupación China ha estado acosando a instituciones financieras taiwanesas como parte de una "campaña persistente" que duró, al menos, 18 meses.

Las intrusiones, cuya primera intención era el espionaje, resultó en el desarrollo de un backdoor llamado xPack, otorgándole al atacante un control extensivo sobre las computadoras comprometidas, dijo Broadcom-owned Symantec en un reporte publicado la semana pasada.

Lo que llama la atención de esta campaña es la cantidad de tiempo en el que los atacantes acechaban en las redes de las víctimas, dándole a los operadores una oportunidad amplia para realizar un reconocimiento detallado y exfiltrar información sensible pertenecientes a los contactos e inversionistas de las empresas sin despertar ninguna alerta.

En una de las organizaciones financieras anónimas, los atacantes gastaron cerca de 250 días entre diciembre del 2020 y agosto del 2021, mientras que una entidad de fabricación tuvo su red bajo su supervisión durante aproximadamente 175 días.

Aunque el vector de acceso inicial utilizado para vulnerar los objetivos permanece incierto, se supone que Antlion aprovechó una falla de la aplicación web para hacerse un hueco y lanzó el backdoor personalizado xPack, el cual se emplea para ejecutar comandos del sistema, arrojar malware y herramientas y datos del escenario para exfiltración.

Adicionalmente, los atacantes utilizaron cargadores (loaders) personalizados basados en C++ así como también una combinación de herramientas fuera de la plataforma tales como AnyDesk y técnicas living-off-the-land (LotL) para ganar acceso remoto, volcar credenciales y ejecutar comandos arbitrarios.

"Se cree que Antlion ha estado involucrado en actividades de espionaje desde, al menos, el 2011, y esta actividad reciente muestra que es un actor a tener en cuenta más de 10 años después de su primera aparición." Dijeron los investigadores.

Los descubrimientos se agregan a una lista creciente de agrupaciones ligadas a China que han acosado a Taiwan en meses recientes, que con ciber actividades maliciosas llevadas a cabo por atacantes tales como Tropic Trooper y Earth Lusca que atacan instituciones gubernamentales, de atención médica, de transporte y educativas en el país.

Fuente: The Hacker News

¡ESPERA NO TE RETIRES AUN¡ ANTES QUIERO ¡REGALARTE UN LIBRO!