 18 de junio de 2025Rravie Lakshmananmalware / Vulnerabilidad Los investigadores de seguridad cibernética han revelado detalles de un nuevo malware llamado MdifyLoader que se ha observado junto con ataques cibernéticos que explotan fallas de seguridad en los electrodomésticos Ivanti Connect Secure (ICS). Según un informe publicado por JPCERT/CC Today, los actores de amenaza detrás de la explotación de CVE-2025-0282 y CVE-2025-22457 en intrusiones observadas entre diciembre de 2024 y julio de 2025 han armado las vulnerabilidades para lanzar MdifyLoader, que luego se usa para lanzar el golpe de cobalto en la memoria. CVE-2025-0282 es un defecto de seguridad crítico en los IC que podría permitir la ejecución de código remoto no autenticado. Fue abordado por Ivanti a principios de enero de 2025. CVE-2025-22457, parcheado en abril de 2025, se refiere a un desbordamiento del búfer basado en la pila que podría explotarse para ejecutar código arbitrario. Si bien ambas vulnerabilidades se han armado en la naturaleza como días cero, los hallazgos anteriores de JPCERT/CC en abril han revelado que el primero de los dos problemas se ha abusado de ofrecer familias de malware como Spawnchimera y Dslogdrat. El último análisis de los ataques que involucran vulnerabilidades de ICS han desenterrado el uso de técnicas de carga lateral de DLL para lanzar MdifyLoader que incluye una carga útil de Beacon Cobalt Strike Cobalt Strike. El Beacon ha sido identificado como la Versión 4.5, que se lanzó en diciembre de 2021. «MdifyLoader es un cargador creado basado en el proyecto de código abierto libpeconv», dijo el investigador de JPCERT/CC, Yuma Masubuchi. «MdifyLoader luego carga un archivo de datos cifrado, decoda Cobalt Strike Beacon y lo ejecuta en la memoria». También se usa una herramienta de acceso remoto basada en GO llamada Vshell y otra utilidad de escaneo de red de código abierto escrita en GO llamada FSCAN. Vale la pena señalar que ambos programas han sido adoptados por varios grupos de piratería chinos en los últimos meses. Se ha encontrado que el flujo de ejecución de FSCAN FSCAN se ejecuta mediante un cargador, que, a su vez, se lanza utilizando la carga lateral de DLL. El cargador DLL Rogue se basa en la herramienta de código abierto FileNclessRemotepe. «El Vshell usado tiene una función para verificar si el lenguaje del sistema está configurado en chino», dijo JPCERT/CC. «Los atacantes no pudieron ejecutar Vshell, y se confirmó que cada vez que habían instalado una nueva versión e intentaron ejecución nuevamente. Este comportamiento sugiere que la función de verificación de lenguaje, probablemente destinada a las pruebas internas, se quedó habilitado durante el despliegue». Al ganar un punto de apoyo en la red interna, se dice que los atacantes llevaron a cabo ataques de fuerza bruta contra los servidores FTP, MS-SQL y SSH y aprovecharon el exploit de SMB EternalBlue (MS17-010) en un intento de extraer credenciales y avanzar posteriormente a través de la red. «Los atacantes crearon nuevas cuentas de dominio y las agregaron a los grupos existentes, lo que les permite retener el acceso incluso si se revocaron las credenciales previamente adquiridas», dijo Masubuchi. «Estas cuentas se combinan con operaciones normales, que permiten el acceso a largo plazo a la red interna. Además, los atacantes registraron su malware como un servicio o un programador de tareas para mantener la persistencia, asegurando que se ejecutara al inicio del sistema o en desencadenantes de eventos específicos».