Conclusiones clave Los sensores Threat Hunting Honeypot de Cyble detectaron cinco vulnerabilidades recientes bajo explotación activa, incluidos ataques recientemente identificados contra complementos de WordPress. Un nuevo troyano bancario está realizando ataques activos en Europa y se espera que se extienda a otras regiones. De más de 400 direcciones de correo electrónico fraudulentas identificadas y descubiertas, seis en particular destacan. Se han identificado puertos comúnmente atacados y los equipos de seguridad deben bloquearlos. Descripción general El servicio Threat Hunting de Cyble descubrió esta semana múltiples casos de intentos de explotación, intrusiones de malware, fraude financiero y ataques de fuerza bruta a través de su red de sensores Honeypot. En la semana del 18 al 24 de septiembre, los investigadores de Cyble identificaron cinco exploits activos recientes, incluidos nuevos ataques contra complementos de WordPress, una nueva variante de malware dirigida a la industria bancaria, más de 400 nuevas direcciones de correo electrónico no deseado y miles de ataques de fuerza bruta. Explotaciones de vulnerabilidad Los sensores de Cyble detectaron cinco vulnerabilidades recientes bajo explotación activa, además de una serie de vulnerabilidades más antiguas que se explotan activamente: Caso 1: Ataque de inyección SQL CVE-2024-27956 es una neutralización inadecuada de gravedad 9,9 de elementos especiales utilizados en un comando SQL Vulnerabilidad en los complementos automáticos de WordPress de ValvePress que permite ataques de inyección SQL. Este problema afecta a Automático: desde n/a hasta 3.92.0. Caso 2: Vulnerabilidad de inyección de argumentos PHP CGI CVE-2024-4577 es una vulnerabilidad PHP de gravedad 9,8 que afecta las configuraciones CGI y ha estado bajo ataque desde que se anunció en junio. Permite a los atacantes ejecutar comandos arbitrarios a través de parámetros de URL especialmente diseñados. Afecta a las versiones de PHP 8.1.* anteriores a la 8.1.29; 8.2.* antes del 8.2.20; y 8.3.* anterior a 8.3.8, cuando se usa Apache y PHP-CGI en Windows. Caso 3: La vulnerabilidad de GeoServer permite la ejecución remota de código mediante una evaluación XPath insegura CVE-2024-36401 es una vulnerabilidad RCE de gravedad 9,8 en versiones de GeoServer anteriores a 2.23.6, 2.24.4 y 2.25.2. La falla surge de la evaluación insegura de los parámetros de solicitud de OGC como expresiones XPath, lo que permite a usuarios no autenticados ejecutar código arbitrario en instalaciones predeterminadas. El problema afecta a todas las instancias de GeoServer debido al manejo inadecuado de tipos de funciones simples. Hay parches disponibles y una solución alternativa implica eliminar la biblioteca gt-complex vulnerable, lo que puede afectar la funcionalidad. Caso 4: Vulnerabilidad de inyección de comandos de red sin autenticación CVE-2024-7029 es una vulnerabilidad de cámara IP AVTECH de gravedad 8,7 que permite a atacantes remotos inyectar y ejecutar comandos a través de la red sin requerir autenticación. Esta falla crítica plantea un riesgo significativo, ya que permite un control no autorizado de los sistemas afectados. Caso 5: Vulnerabilidad de inyección de comandos de red sin autenticación El complemento porte_plume utilizado por SPIP antes de 4.30-alpha2, 4.2.13 y 4.1.16 es vulnerable a una vulnerabilidad de ejecución de código arbitrario de gravedad 9.8 (CVE-2024-7954). Un atacante remoto y no autenticado puede ejecutar PHP arbitrario como usuario de SPIP enviando una solicitud HTTP manipulada. Octo2: Nueva variante de malware apunta a bancos europeos en ataques activos Octo2, una nueva variante del troyano bancario móvil Octo, fue descubierta recientemente en ataques a bancos europeos y se espera que se implemente en otras regiones del mundo. Octo (también conocido como ExobotCompact) se ha convertido en una de las familias de malware más destacadas en el panorama de amenazas móviles, liderando el número de muestras únicas detectadas este año. Recientemente, se descubrió una nueva variante llamada “Octo2”, creada por el actor de la amenaza original, lo que indica un posible cambio en las tácticas y estrategias de los actores. Esta versión mejorada mejora las capacidades de acción remota del malware, particularmente para ataques de adquisición de dispositivos, lo que garantiza una mayor estabilidad en la ejecución. Ya se han observado nuevas campañas de Octo2 dirigidas a varios países europeos. Además, Octo2 emplea técnicas avanzadas de ofuscación para evadir la detección, incluida la introducción de un algoritmo de generación de dominio (DGA), que refuerza aún más su capacidad para permanecer oculto a los sistemas de seguridad. Aquí se muestran hashes e IoC conocidos, a través de Threat Fabric: Hash (SHA256)nombre de la aplicaciónnombre del paquete83eea636c3f04ff1b46963680eb4bac7177e77bbc40b0d3426f5cf66a0c647aeNordVPNcom.handedfastee56cd0fbfb088a95b239e42 d139e27354abeb08c6788b6083962943522a870cb98Europe Enterprisecom.xsusb_restore3117aa133d19ea84a4de87128f16384ae0477f3ee9dd3e43037e102d7039c79d9Google Chromecom.havirtual06numberresources Más Se detectaron más de 400 direcciones de correo electrónico fraudulentas Cyble identificó 410 nuevas direcciones de correo electrónico utilizadas en campañas fraudulentas. Aquí hay seis notas: Asunto del correo electrónico Estafadores ID de correo electrónico Tipo de estafa Descripción Directivas de reclamo info@szhualilian.com Estafa de reclamo Reembolso falso contra reclamos ¡Estimado ganador! info@student.htw-berlin.de Estafa de lotería/premios Ganancias de premios falsas para extorsionar dinero o información AVISO DE DONACIÓN m.sharifi@qiau.ac.ir Estafa de donaciones Estafadores que se hacen pasar por donantes para donar dinero PROPUESTA DE INVERSIÓN Walsh.philip@natwest.co .uk Estafa de inversión Ofertas de inversión poco realistas para robar fondos o datos. Pedido: despacho de aduana support@ip.linodeusercontent.com Estafa de envío Truco de envío no reclamado para exigir tarifas o detalles Fondo de Compensación de la ONU info@usa.com Estafa de organización gubernamental Compensación falsa de la ONU para recopilar detalles financieros Ataque de fuerza bruta Puertos identificados De los miles de brutos ataques de fuerza identificados por Cyble, los siguientes puertos específicos se destacan como merecedores de atención. Con base en una inspección minuciosa de la distribución de los puertos atacados según los cinco principales países atacantes, Cyble notó que los ataques que se originan en los Estados Unidos tienen como objetivo los puertos 22 (40%), 3389 (32%), 445 (21%), 23 ( 4%) y 80(3%). Los ataques procedentes de Turquía tienen como objetivo 3.389 puertos (100%). Rusia, China y Bulgaria apuntaron principalmente a los puertos 5900 y 445. Se recomienda a los analistas de seguridad agregar bloques de sistemas de seguridad para los puertos atacados (como 22, 3389, 443, 445, 5900 y 3306). Recomendaciones de Cyble Los investigadores de Cyble recomiendan los siguientes controles de seguridad: Bloqueo de hashes de destino, URL e información de correo electrónico en los sistemas de seguridad (los clientes de Cyble recibieron una lista de IoC separada). Parche de inmediato todas las vulnerabilidades abiertas enumeradas aquí y supervise de forma rutinaria las principales alertas de Suricata en las redes internas. Verifique constantemente los ASN e IP de los atacantes. Bloquee las IP de ataques de fuerza bruta y los puertos de destino enumerados. Restablezca inmediatamente los nombres de usuario y contraseñas predeterminados para mitigar los ataques de fuerza bruta y aplicar cambios periódicos. Para los servidores, configure contraseñas seguras que sean difíciles de adivinar. Relacionado