Etiqueta: Ataques ciberneticos Página 1 de 10

 18 de junio de 2025Rravie Lakshmananmalware / Vulnerabilidad Los investigadores de seguridad cibernética han revelado detalles de un nuevo malware llamado MdifyLoader que se ha observado junto con ataques cibernéticos que explotan fallas de seguridad en los electrodomésticos Ivanti Connect Secure (ICS). Según un informe publicado por JPCERT/CC Today, los actores de amenaza detrás de la explotación de CVE-2025-0282 y CVE-2025-22457 en intrusiones observadas entre diciembre de 2024 y julio de 2025 han armado las vulnerabilidades para lanzar MdifyLoader, que luego se usa para lanzar el golpe de cobalto en la memoria. CVE-2025-0282 es un defecto de seguridad crítico en los IC que podría permitir la ejecución de código remoto no autenticado. Fue abordado por Ivanti a principios de enero de 2025. CVE-2025-22457, parcheado en abril de 2025, se refiere a un desbordamiento del búfer basado en la pila que podría explotarse para ejecutar código arbitrario. Si bien ambas vulnerabilidades se han armado en la naturaleza como días cero, los hallazgos anteriores de JPCERT/CC en abril han revelado que el primero de los dos problemas se ha abusado de ofrecer familias de malware como Spawnchimera y Dslogdrat. El último análisis de los ataques que involucran vulnerabilidades de ICS han desenterrado el uso de técnicas de carga lateral de DLL para lanzar MdifyLoader que incluye una carga útil de Beacon Cobalt Strike Cobalt Strike. El Beacon ha sido identificado como la Versión 4.5, que se lanzó en diciembre de 2021. «MdifyLoader es un cargador creado basado en el proyecto de código abierto libpeconv», dijo el investigador de JPCERT/CC, Yuma Masubuchi. «MdifyLoader luego carga un archivo de datos cifrado, decoda Cobalt Strike Beacon y lo ejecuta en la memoria». También se usa una herramienta de acceso remoto basada en GO llamada Vshell y otra utilidad de escaneo de red de código abierto escrita en GO llamada FSCAN. Vale la pena señalar que ambos programas han sido adoptados por varios grupos de piratería chinos en los últimos meses. Se ha encontrado que el flujo de ejecución de FSCAN FSCAN se ejecuta mediante un cargador, que, a su vez, se lanza utilizando la carga lateral de DLL. El cargador DLL Rogue se basa en la herramienta de código abierto FileNclessRemotepe. «El Vshell usado tiene una función para verificar si el lenguaje del sistema está configurado en chino», dijo JPCERT/CC. «Los atacantes no pudieron ejecutar Vshell, y se confirmó que cada vez que habían instalado una nueva versión e intentaron ejecución nuevamente. Este comportamiento sugiere que la función de verificación de lenguaje, probablemente destinada a las pruebas internas, se quedó habilitado durante el despliegue». Al ganar un punto de apoyo en la red interna, se dice que los atacantes llevaron a cabo ataques de fuerza bruta contra los servidores FTP, MS-SQL y SSH y aprovecharon el exploit de SMB EternalBlue (MS17-010) en un intento de extraer credenciales y avanzar posteriormente a través de la red. «Los atacantes crearon nuevas cuentas de dominio y las agregaron a los grupos existentes, lo que les permite retener el acceso incluso si se revocaron las credenciales previamente adquiridas», dijo Masubuchi. «Estas cuentas se combinan con operaciones normales, que permiten el acceso a largo plazo a la red interna. Además, los atacantes registraron su malware como un servicio o un programador de tareas para mantener la persistencia, asegurando que se ejecutara al inicio del sistema o en desencadenantes de eventos específicos».

 18 de junio de 2025Rravie Lakshmanancer Espionaje / malware múltiples sectores en China, Hong Kong y Pakistán se han convertido en el objetivo de un clúster de actividad de amenazas rastreado como UNG0002 (también conocido como un grupo desconocido 0002) como parte de una campaña de aspiración cibernética más amplia. «Esta entidad de amenaza demuestra una fuerte preferencia por el uso de archivos de acceso directo (LNK), VBScript y herramientas posteriores a la explotación, como Cobalt Strike y MetaSploit, al tiempo que implementa constantemente documentos de señuelos con temática de CV para atraer a las víctimas», dijo el investigador de Seqrite Labs Subhjeet Singha publicado en un informe esta semana. La actividad abarca dos campañas principales, una llamada Operation Cobalt Whisper que tuvo lugar entre mayo y septiembre de 2024, y la Operación Ambermist que ocurrió entre enero y mayo de 2025. Los objetivos de estas campañas incluyen defensa, ingeniería electrotécnica, energía, aviación civil, academia, instituciones médicas, ciberseguridad, juegos y sectores de desarrollo de software. La Operación Cobalt Whisper fue documentada por primera vez por Seqrite Labs a fines de octubre de 2024, detallando el uso de archivos ZIP propagados a través de ataques de phishing de lanza para entregar balizas de ataque de cobalto, un marco posterior a la explotación, utilizando scripts LNK y Visual Basic como cargas intermedias. «El alcance y la complejidad de la campaña, junto con los señuelos personalizados, sugieren un esfuerzo objetivo de un grupo apto para comprometer la investigación sensible y la propiedad intelectual en estas industrias», señaló la compañía en ese momento. Se ha encontrado que los cadenas de ataque amberestas aprovechan los correos electrónicos de phishing de lanza como un punto de partida para entregar archivos LNK disfrazados de currículo vitae y se reanudan para desatar un proceso de infección en varias etapas que resulta en el despliegue de INET RAT y Blister DLL cargador. Se ha encontrado que las secuencias de ataque alternativas detectadas en enero de 2025 redirigen a los destinatarios de correo electrónico a las páginas de destino falsas que falsifican el sitio web del Ministerio de Asuntos Marítimos (MoMA) de Pakistán para servir verificaciones falsas de verificación de Captcha que emplean tácticas de ClickFix para lanzar comandos PowerShell, que se utilizan para ejecutar a Shadow Rat. Shadow Rat, lanzado a través de la carga lateral de DLL, es capaz de establecer contacto con un servidor remoto para esperar más comandos. Se evalúa que INET RAT es una versión modificada de Shadow Rat, mientras que el implante DLL Blister funciona como un cargador de códigos de carcasa, eventualmente allanando el camino para un implante basado en la cubierta inversa. Los orígenes exactos del actor de amenaza siguen sin estar claros, pero la evidencia apunta a que es un grupo centrado en el espionaje del sudeste asiático. «UNG0002 representa una entidad de amenaza sofisticada y persistente del sur de Asia que ha mantenido operaciones consistentes dirigidas a múltiples jurisdicciones asiáticas desde al menos mayo de 2024», dijo Singha. «El grupo demuestra una alta adaptabilidad y competencia técnica, evolucionando continuamente su conjunto de herramientas mientras mantiene tácticas, técnicas y procedimientos consistentes».

 18 de junio de 2025Rravie Lakshmanansurveillance / Investigadores de seguridad cibernética de seguridad móvil han arrojado luz sobre una herramienta forense móvil llamada Massistant que utiliza las autoridades de aplicación de la ley en China para recopilar información de dispositivos móviles incautados. La herramienta de piratería, que se cree que es un sucesor de MFSocket, es desarrollada por una compañía china llamada SDIC Intelligence Xiamen Information Co., Ltd., que anteriormente era conocida como Meiya Pico. Se especializa en la investigación, desarrollo y venta de datos electrónicos forenses y productos de tecnología de seguridad de la información de red. Según un informe publicado por Lookout, Massistant trabaja junto con un software de escritorio correspondiente, que permite el acceso a los datos de ubicación GPS del dispositivo, mensajes SMS, imágenes, audio, contactos y servicios telefónicos. «Meiya Pico mantiene asociaciones con socios de aplicación de la ley nacionales e internacionales, tanto como proveedor de hardware de vigilancia y software, así como a través de programas de capacitación para el personal de aplicación de la ley», dijo la investigadora de seguridad Kristina Balaam. Massistant requiere acceso físico al dispositivo para instalar la aplicación, lo que significa que puede usarse para recopilar datos de dispositivos confiscados de individuos cuando se detienen en los puntos de control de la frontera. Lookout dijo que obtuvo muestras masivas entre mediados de 2019 y principios de 2023 y que se firmaron con un certificado de firma de Android que hizo referencia a Meiya Pico. Tanto Massistant como su predecesor, MFSocket, funcionan de manera similar, ya que deben conectarse a una computadora de escritorio que ejecuta software forense para extraer los datos del dispositivo. Una vez lanzado en el teléfono, la herramienta solicita a los usuarios que le otorguen permisos para acceder a datos confidenciales, después de lo cual no se requiere más interacción. «Si el usuario intenta salir de la aplicación, recibe un aviso de que la aplicación está en modo ‘Get Data’ y salir daría lugar a algún error», explicó Balaam. «Este mensaje se traduce a solo dos idiomas: chino (caracteres simplificados) e inglés ‘nosotros'». La aplicación está diseñada de tal manera que se desinstala automáticamente desde el dispositivo cuando se desconecta de un USB. Massistant también se expande en las características de MFSocket al incluir la capacidad de conectarse a un teléfono usando el puente de depuración Android (ADB) a través de Wi-Fi y descargar archivos adicionales al dispositivo. Otra nueva funcionalidad incorporada en Massistant es recopilar datos de aplicaciones de mensajería de terceros más allá de Telegram para incluir Signal and Letstalk, una aplicación de chat taiwanesa con más de 100,000 descargas en Android. Si bien el análisis de Lookout se centra principalmente en la versión de Android de Massistant, las imágenes compartidas en su sitio web muestran iPhones conectados a su dispositivo de hardware forense, lo que sugiere que hay un IOS equivalente para extraer datos de Apple Devices. El hecho de que Meiya Pico también pueda centrarse en los dispositivos iOS se deriva de las diversas patentes presentadas por la compañía relacionada con la recopilación de evidencia de dispositivos Android e iOS, incluidas las huellas de voz para casos relacionados con Internet. «Las características de la huella de voz son una de las características biológicas importantes del cuerpo humano, y pueden determinar de manera única la identidad de un usuario», según una patente. «Después de construir la biblioteca Voiceprint, se puede atender directamente una pluralidad de semillas policiales, y la eficiencia y la capacidad de detectar y resolver un caso de una organización relacionada pueden mejorarse de manera efectiva». La participación de la firma forense digital en el espacio de vigilancia no es nueva. En diciembre de 2017, el Wall Street Journal informó que la compañía trabajó con oficiales de policía en ürümqi, la capital de la región autónoma de Xinjiang Uyghur en el noroeste de China, para escanear teléfonos inteligentes en busca de contenido relacionado con el terrorismo al conectarlos a un dispositivo de mano. Cuatro años más tarde, el Departamento de Control de Activos Extranjeros (OFAC) de los Estados Unidos (OFAC) sancionó a Meiya Pico por habilitar la «vigilancia biométrica y seguimiento de minorías étnicas y religiosas en China, particularmente la minoría predominantemente musulmana de Uyghur en Xinjiang». «Viajar hacia y dentro de China continental conlleva el potencial de turistas, viajeros de negocios y personas de interés para que sus datos móviles confidenciales adquirieran como parte de las iniciativas de intercepción legales por parte de la policía estatal», dijo Lookout. La divulgación se produce un par de meses después de que Lookout desenterró otro spyware llamado Eaglemsgspy que se sospecha que los departamentos de policía chinos son utilizados como una herramienta de intercepción legal para reunir una amplia gama de información de dispositivos móviles.

Los investigadores de seguridad cibernética han descubierto una nueva campaña que explota una falla de seguridad conocida que afecta el servidor Apache HTTP para entregar un minero de criptomonedas llamado Linuxsys. La vulnerabilidad en cuestión es CVE-2021-41773 (puntuación CVSS: 7.5), una vulnerabilidad de transversal de ruta de alta severidad en la versión 2.4.49 del servidor Apache HTTP que podría dar lugar a la ejecución de código remoto. «El atacante aprovecha los sitios web legítimos comprometidos para distribuir malware, lo que permite la entrega sigilosa y la evasión de la detección», dijo Jacob Baines de Vulncheck en un informe compartido con Hacker News. La secuencia de infección, observada a principios de este mes y que se origina en una dirección IP indonesia 103.193.177[.]152, está diseñado para soltar una carga útil de la próxima etapa de «RepositoryLinux[.]org «utilizando curl o wget. La carga útil es un script de shell responsable de descargar el minero de criptomonedas de Linuxsys de cinco sitios web legítimos diferentes, lo que sugiere que los actores de amenaza detrás de la campaña han logrado comprometer la infraestructura de terceros para facilitar la distribución del malware». Notado. «Además, proporciona una capa de separación para el sitio de descarga (‘RepositoryLinux[.]org ‘) ya que el malware en sí no está alojado allí. «Los sitios también alojan otro script de shell llamado» cron.sh «que asegura que el minero se inicie automáticamente en un reinicio del sistema. Una falla de seguridad crítica en Osgeo Geoserver Geotools (CVE-2024-36401, CVSS Puntuación: 9.8), según lo documentado por Fortinet Fortiguard Labs en septiembre de 2024. Curiosamente, el script de Shell se cayó después de la explotación de la falla se descargó de «RepositoryLinux[.]com, «con comentarios en el código fuente escrito en Sundanese, un idioma indonesio. El mismo script de shell se ha detectado en la naturaleza desde diciembre de 2021. Algunas de las otras vulnerabilidades explotadas para entregar el minero en los últimos años incluyen-CVE-2023-22527, una injerga de injeraciones de plantilla en el centro de datos de la injerencia de la plantilla en el centro de datos de la injerencia Atlassian y el servidor de la confluencia CVE-2023-34960. Vulnerabilidad en Chamilo Learning Management Systems (LMS) CVE-2023-38646, una vulnerabilidad de inyección de comandos en metabase CVE-2024-0012 y CVE-2024-9474, son la autenticación de la autenticación y las vulnerabilidades de escalada de la escalada de la técnica a largo plazo en la técnica de las redes de las redes de las redes de las redes de las redes de Palo, lo que ha sido el atacante que el atacante ha sido una campaña a largo plazo en una campaña de medición a largo plazo en la campaña a largo plazo en la que lo contratan en la campaña de los ataques a largo plazo. Como explotación del día N, organización de contenido en hosts comprometidos y minería de monedas en máquinas víctimas «, dijo Vulncheck.» Parte de su éxito proviene de una cuidadosa orientación. Parecen evitar los honeypots de baja interacción y requieren una alta interacción para observar su actividad. Combinado con el uso de hosts comprometidos para la distribución de malware, este enfoque ha ayudado en gran medida al atacante a evitar el escrutinio «. El descubrimiento de los ataques de mineros de Linuxsys coinciden con una nueva campaña asociada con el H2Miner Cryptocurrency Botnet Botnet que ofrece Kinsing, un Trojan de acceso remoto (rata) utilizado comúnmente para entregar malware con una amplia variedad de InfraTructos de Linux. Out también ofrece una variante de script de Visual Basic de ransomware LCRYX, llamado LCRYPT0RX, que marca la primera instancia documentada de superposición operativa entre las dos familias de malware «LCRYX es una nueva cepa de ransomware basada en VBSCRIT. Inteligencia «. Los ataques implican el uso de un script de shell que termina los procesos relacionados con las herramientas de seguridad, las bases de datos y otras aplicaciones de los usuarios antes de lanzar Kinsing, que luego ofrece el XMRIG Miner. También está diseñado para matar procesos de mineros en competencia que pueden estar ejecutados en Hosts de LCRYPT0RX de LCRYPT0RX. El editor de políticas, el explorador de procesos y la utilidad de la configuración del sistema. Cobalt Strike, Connectwise Screenconnect, robos de información como Lumma y RustyStealer, y un inyector que sirve a DCRAT. Dijo Pradhan. La falta de gestión clave, combinada con la presencia de tácticas de miedo y demandas de rescate superficiales, sugiere que LCRYPT0RX opera más como un sharware que una amenaza de ransomware grave. Se indica que la mercantilización continua del delito cibernético, ya que el acceso a las herramientas previas a la construcción de la IA puede reducir aún más la barrera de entrada, permitiendo que los actores de amenaza incluso con experiencia técnica de poca o no lanzaran ataques de alto impacto a escala a escala. Entornos, esto resulta en un impacto financiero significativo, a medida que los sistemas comprometidos incurren en costos de cálculo elevados, el rendimiento degradado y el aumento del riesgo operativo «. Los servidores de intercambio atacados por GhostContainer Backdoor El desarrollo se produce cuando Kaspersky reveló los detalles de una campaña que está dirigida a las entidades gubernamentales en Asia, probablemente con una falla de seguridad no día en el Intercambio de Microsoft, a despliegue de un bespeke bosheor Dubbed Dubbed Dubbed Dubbed Dubbed Dubbed Dubbed Dubbed. Los ataques pueden haber explotado un error de ejecución de código remoto ahora empatado en Exchange Server (CVE-2020-0688, puntaje CVSS: 8.8). actividades «. El malware está equipado para analizar las instrucciones que pueden ejecutar shellcode, descargar archivos, leer o eliminar archivos, ejecutar comandos arbitrarios y cargar un código .NET byte adicional. También incorpora una proxy web y un módulo de túnel. ataques, aunque se evalúa que son altamente calificados debido a su comprensión profunda del servidor de Microsoft Exchange y su capacidad para transformar el código disponible públicamente en herramientas de espionaje avanzadas. [command-and-control] Infraestructura «, dijo Kaspersky.» En cambio, el atacante se conecta al servidor comprometido desde el exterior, y sus comandos de control están ocultos dentro de las solicitudes web de Exchange Normal «.

17 de junio de 2025Ravie Lakshmananmalware / Social Engineering Actores están aprovechando repositorios públicos de GitHub para organizar cargas útiles maliciosas y distribuirlas a través de Amadey como parte de una campaña observada en abril de 2025 «. [malware-as-a-service] Los operadores utilizaron cuentas falsas de Github para alojar cargas útiles, herramientas y complementos Amadey, probablemente como un intento de evitar el filtrado web y para facilitar el uso «, dijeron los investigadores de Cisco Talos Chris Neal y Craig Jackson en un informe publicado hoy. La compañía de seguridad cibernética dijo que la compañía de ataques de Attacks Attacks Attains de Malware de Attheads llamó a Emmenhtal (aKa Peaklight) para entregar a Amadey, que, por lo que las personas con malware, las aperturas de Malware, los que le dieron a los Malware, lo que hace la carga de los malware, para su parte de la parte de los malware), para entregar a la parte de la parte de la parte de la parte de los malware, para su parte. Desde los repositorios públicos de Github operados por los actores de amenaza. Entrega de ransomware como Lockbit 3.0 en el pasado. DFFE9EWF y MILIDMDDS) que se usan para alojar complementos Amadey, cargas útiles secundarias y otros scripts de ataque malicioso, incluidos los robadores de Lumma, Redline Stealer y Rhadamanthys Stealer, desde entonces se han eliminado las cuentas. Campaña Smokeleader, la principal diferencia es la carga útil descargada. AMADEY de una dirección IP codificada. El proveedor sugiere que los ataques relacionados pueden estar en marcha en Singapur y Australia. Una cadena de ataque que culminó con el despliegue de una baliza de ataque de cobalto para el acceso y el control remoto «, dijo el investigador de seguridad Charles Crofford.» Su intrincado anti-análisis, anti-sandbox y técnicas anti-fondos, junto con las tasas de detección escasas, plantean una amenaza significativa para las organizaciones de familias dirigidas «. Realizado por un grupo motivado financieramente denominado UNC5952 que aproveche los temas de la factura en los correos electrónicos para atender a droppers maliciosos que conducen a la implementación de un descargador llamado Chainverb que, a su vez, a su vez, los ataques de acceso remoto de ConnectwiseNect, que emplean a los recapitales de impuestos, se inicia a los recentros de truco que hacen clic en el enlace que finalmente ofrece un accesorio de pantalla de captura de pretexto de la prestación de la prolentera de la prestación de la prolentera. Ataques de documentos PDF que utilizan temas de la Administración del Seguro Social de los Estados Unidos (SSA) para recolectar credenciales de los usuarios o instalar la versión troyanizada de Connectwise SCRESCONNECT, siguiendo qué víctimas reciben instrucciones de instalar y sincronizar la aplicación de enlace telefónico de Microsoft para que posiblemente sea posible recopilar mensajes de texto y códigos de autenticación de dos factores enviados a los ataques de dispositivo móvil conectados que se convierten en un phishing kit kit a loguekit a lo recopilando loguekit para que se acompañe a la reducción de credencial a la vez que se acompaña a la búsqueda de accesorios. login pages and hosting them on Amazon Web Services (AWS) infrastructure to bypass detection, while simultaneously integrating Cloudflare Turnstile CAPTCHA verification to create a false sense of security and legitimacy Attacks that make use of another custom Python Flask-based phishing kit to facilitate credential theft with minimal technical effort Attacks codenamed Scanception that employ QR codes in PDF email attachments to direct users to credential harvesting pages mimicking the Microsoft login portal Attacks that employ the ClickFix tactic to deliver Rhadamanthys Stealer and NetSupport RAT Attacks that utilize cloaking-as-a-service (CaaS) offerings like Hoax Tech and JS Click Cloaker to conceal phishing and malicious websites from security scanners and show them only to intended victims as a way to fly under the radar Attacks that leverage HTML y JavaScript para crear correos electrónicos maliciosos de aspecto realista que pueden evitar la sospecha del usuario y los ataques de herramientas de detección tradicionales dirigidas a proveedores de servicios B2B que utilizan los archivos de imagen de gráficos vectoriales escalables (SVG) en los correos electrónicos de phishing y qué Javascript de incrustaciones incorporadas a la que se abligen a las redirectas de la ventana. El navegador Según los datos compilados por CoFense, el uso de códigos QR representa el 57% de las campañas con tácticas avanzadas, técnicas y procedimientos (TTP) en 2024. Otros métodos notables incluyen el uso de archivos adjuntos protegidos por contraseña en los correos electrónicos para obtener las puertas de enlace de correo electrónico seguras (SEG). Por lo general, un archivo claramente malicioso «, dijo el investigador de cofense Max Gannon.

Una operación internacional coordinada por Europol ha interrumpido la infraestructura de un grupo hacktivista pro-ruso conocido como Noname057 (16) que se ha vinculado a una serie de ataques distribuidos de negación de servicio (DDoS) contra Ucrania y sus aliados. Las acciones han llevado al desmantelamiento de una parte importante de la infraestructura del servidor central del grupo y más de 100 sistemas en todo el mundo. El esfuerzo conjunto también incluyó dos arrestos en Francia y España, búsquedas de dos docenas de hogares en España, Italia, Alemania, la República Checa, Francia y Polonia, y la emisión de órdenes de arresto para seis nacionales rusos. El esfuerzo, la Operación con nombre en código Eastwood, tuvo lugar entre el 14 y el 17 de julio e involucró a las autoridades de Checia, Francia, Finlandia, Alemania, Italia, Lituania, Polonia, España, Suecia, Suiza, Países Bajos y Estados Unidos. La investigación también fue apoyada por Bélgica, Canadá, Estonia, Dinamarca, Letonia, Rumania y Ucrania. Noname057 (16) ha estado operativo desde marzo de 2022, actuando como un colectivo pro-Kremlin que moviliza a los simpatizantes ideológicamente motivados en el telegrama para lanzar ataques DDoS contra sitios web utilizando un programa especial llamado DDOSIA a cambio de un pago de criptojonencias en un esfuerzo para mantenerlos incentivados. Surgió poco después de la invasión de Rusia de Ucrania. Se han agregado cinco personas de Rusia a la lista de más buscados de la UE por presuntamente apoyar a Noname57 (16) – Andrey Muravyov (también conocido como Dazbastadraw) Maxim Nikolaevich Lupine (también conocido como S3RMax) Olga Evstratova (AKA Olechickek, Olenka) Mihail EvgeYevich Burlakov (Aka DdoSator3000, Darklogo andklogo000) Se sospecha que Stanislavovich Avrosimow (también conocido como Ponyaska) «Burlakov es miembro central del grupo ‘Noname057 (16)’ y, como tal, de haber hecho una contribución significativa para realizar ataques DDoS en varias instituciones en Alemania y otros países», según una descripción publicada en el sitio de fugitivos más buscado. «En particular, se sospecha que asume un papel principal dentro del grupo bajo el seudónimo ‘Darkklogo’ y en este papel de haber tomado decisiones, incluso en el desarrollo y una mayor optimización del software para la identificación estratégica de los objetivos y para desarrollar el software de ataque, así como haber ejecutado pagos relacionados con el alquiler de servidores ilícitos». Evstratova, también se cree que es un miembro central del grupo, ha sido acusado de asumir responsabilidades para optimizar el software de ataque Ddosia. Avrosimow se ha atribuido a 83 casos de sabotaje por computadora. Europol dijo que los funcionarios se han comunicado con más de 1,000 personas que se cree que son partidarios de la red de delitos cibernéticos, notificándoles la responsabilidad penal que tienen por orquestar ataques DDoS utilizando herramientas automatizadas. «Además de las actividades de la red, estimadas en más de 4,000 seguidores, el grupo también pudo construir su propia botnet compuesta por varios cientos de servidores, utilizados para aumentar la carga de ataque», señaló Europol. «Mimicking similar a la dinámica del juego, los agradecimientos regulares, las tablas de clasificación o las insignias proporcionaban a los voluntarios un sentido de estatus. Esta manipulación gamificada, a menudo dirigida a los delincuentes más jóvenes, estaba emocionalmente reforzada por una narración de defensores de Rusia o eventos políticos que avengan». En los últimos años, se ha observado que los actores de amenazas organizan una serie de ataques dirigidos a autoridades suecas y sitios web bancarios, así como contra 250 empresas e instituciones en Alemania en el transcurso de 14 olas separadas desde noviembre de 2023. Julio pasado, los sospechosos de Spain, los sospechosos de Spana, los sospechosos de Sprain y otros países de Sprain, y otros países sospechosos de Sprain y otros países de Sprain y otros países de la denegación de la denegación de los «Attacos de la Denificación de la Denificación de Sprain y los Otros Ataques Estratégicos de Sprain y otros. El desarrollo se produce cuando grupos hacktivistas rusos como Z-Pentest, Dark Engine y Sector 16 están entrenando cada vez más sus miras en una infraestructura crítica, yendo más allá de los ataques DDoS y las defactaciones del sitio web que generalmente están asociadas con ataques cibernéticos motivados ideológicamente. «Los grupos han alineado mensajes, tiempo coordinado y compartieron prioridades de orientación, lo que sugiere una colaboración deliberada que respalda objetivos cibernéticos estratégicos rusos», dijo Cyble. ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

 16 de junio de 2025Ravie Lakshmananthrattat INTELIGENCIA / Vulnerabilidad Los investigadores de ciberseguridad han marcado una nueva variante de un cargador de malware conocido llamado Matanbuchus que incluye características significativas para mejorar su detección de sigilo y evadir. Matanbuchus es el nombre dado a una oferta de malware como servicio (MAAS) que puede actuar como un conducto para las cargas útiles de la próxima etapa, incluidas las balizas de ataque de cobalto y el ransomware. Publicados por primera vez en febrero de 2021 en los foros de cibercrimen de habla rusa para un precio de alquiler de $ 2,500, el malware se ha utilizado como parte de señuelos similares a ClickFix para engañar a los usuarios que visitan sitios legítimos legítimos y confirmados que no lo ejecutan. En cambio, a menudo se implementa utilizando ingeniería social práctica, donde los atacantes engañan directamente a los usuarios. En algunos casos, admite el tipo de acceso inicial utilizado por los corredores que venden entrada a grupos de ransomware. Esto lo hace más dirigido y coordinado que los cargadores de productos típicos. La última versión del cargador, rastreada como Matanbuchus 3.0, incorpora varias características nuevas, incluidas las técnicas de protocolo de comunicación mejoradas, las capacidades en memoria, los métodos de ofuscación mejorados, la CMD y el soporte de carcasa inversa de PowerShell, y la capacidad de ejecutar cargas útiles de DLL, EXE y Shellcode de la próxima etapa, por morrfisec. La compañía de seguridad cibernética dijo que observó el malware en un incidente a principios de este mes en el que una compañía no identificada fue dirigida a través de llamadas externas de Microsoft Equips que se sufraron una mesa de ayuda de TI y engañó a los empleados para que lanzaran asistencia rápida para el acceso remoto y luego ejecutar un script de Powershell que desplegó a Matanbuchus. Vale la pena señalar que las tácticas de ingeniería social similares han sido empleadas por actores de amenaza asociados con la operación de ransomware negro Basta. «Las víctimas son cuidadosamente atacadas y persuadidas para ejecutar un guión que desencadena la descarga de un archivo», dijo Michael Gorelik, CTO de Morphisec. «Este archivo contiene un Updater de Notepad ++ renombrado (GUP), un archivo XML de configuración ligeramente modificado y un DLL cargado de lateral malicioso que representa el cargador Matanbuchus». Matanbuchus 3.0 ha sido anunciado públicamente por un precio mensual de $ 10,000 para la versión HTTPS y $ 15,000 para la versión DNS. Una vez lanzado, el malware recopila información del sistema e itera sobre la lista de procesos de ejecución para determinar la presencia de herramientas de seguridad. También verifica el estado de su proceso para verificar si se está ejecutando con privilegios administrativos. Luego envía los detalles recopilados a un servidor de comando y control (C2) para recibir cargas útiles adicionales en forma de instaladores MSI y ejecutables portátiles. La persistencia en la toma se logra configurando una tarea programada. «Si bien suena simple, los desarrolladores de Matanbuchus implementaron técnicas avanzadas para programar una tarea a través del uso de COM e inyección de ShellCode», explicó Gorelik. «El shellcode en sí es interesante; implementa una resolución API relativamente básica (comparaciones de cadenas simples) y una ejecución sofisticada de COM que manipula el servicio de ITasks». El cargador también viene equipado con características que el servidor C2 puede invocar de forma remota para recopilar todos los procesos de ejecución, los servicios en ejecución y una lista de aplicaciones instaladas. «El malware Matanbuchus 3.0 como servicio se ha convertido en una amenaza sofisticada», dijo Gorelik. «Esta versión actualizada introduce técnicas avanzadas, como protocolos de comunicación mejorados, sigilo en memoria, ofuscación mejorada y soporte para consultas WQL, CMD y capas inversas de PowerShell». «The loader’s ability to execute regsvr32, rundll32, msiexec, or process hollowing commands underscores its versatility, making it a significant risk to compromised systems.»As malware-as-a-service evolves, Matanbuchus 3.0 fits into a broader trend of stealth-first loaders that rely on LOLBins (living-off-the-land binaries), COM object hijacking, y PowerShell Stagers para permanecer bajo el radar. Los investigadores de amenaza están mapeando cada vez más estos cargadores como parte de las estrategias de gestión de la superficie de ataque y vinculándolas al abuso de herramientas de colaboración empresarial como los equipos de Microsoft y Zoom. ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

 16 de junio de 2025Rravie Lakshmanananwindows Investigadores de seguridad cibernética del servidor / Seguridad empresarial han revelado lo que dicen que es un «defecto de diseño crítico» en las cuentas de servicio administrados delegados (DMSA) introducidos en el servidor de Windows 2025 «. La falla puede dar lugar a los recursos de servicio directivo de alta impulso, y sus recursos de servicio administrados a través de los recursos de servicio administrativo y sus recursos gestionados de alta impulso y sus recursos administrados y sus recursos gestionados de alta impulso de los recursos administrados y sus recursos administrados y sus recursos administrados y sus recursos gestionados de alta impulso y sus recursos administrados y sus recursos administrados y sus recursos gestionados de alta impulso indefinidamente «, dijo Semperis en un informe compartido con Hacker News. En cuanto a la explotación exitosa, la explotación exitosa podría permitir a los adversarios de evitar barandillas de autenticación y generar contraseñas para todas las cuentas de servicio administrados (DMSA) y las cuentas de servicio administradas del grupo (GMSA) y sus cuentas de servicio asociadas. El método de escalada de persistencia y privilegio ha sido nombrado DMSA Golden Golden, con la compañía de seguridad cibernética que lo considera como baja complejidad debido al hecho de que la vulnerabilidad simplifica la generación de contraseñas de fuerza bruta. Sin embargo, para que los malos actores lo exploten, ya deben estar en posesión de una clave raíz del servicio de distribución clave (KDS) que generalmente solo está disponible para cuentas privilegiadas, como administradores de dominio raíz, administradores empresariales y sistema. Descrito como la joya de la corona de la infraestructura GMSA de Microsoft, la clave Root KDS sirve como una clave maestra, lo que permite que un atacante obtenga la contraseña actual para cualquier cuenta DMSA o GMSA sin tener que conectarse al controlador de dominio. «El ataque aprovecha una falla de diseño crítico: una estructura que se usa para el cálculo de la generación de contraseñas contiene componentes predecibles basados en el tiempo con solo 1,024 combinaciones posibles, lo que hace que la generación de contraseñas de fuerza bruta sea computacionalmente trivial», dijo el investigador de seguridad Adi Malyanker. Deleged Managed Service Cuentas es una nueva característica introducida por Microsoft que facilita la migración de una cuenta de servicio heredado existente. Se introdujo en Windows Server 2025 como una forma de contrarrestar los ataques de kerberoasting. Las cuentas de la máquina vinculan la autenticación directamente a las máquinas autorizadas explícitamente en Active Directory (AD), eliminando así la posibilidad de robo de credenciales. Al vincular la autenticación a la identidad del dispositivo, solo las identidades de máquina especificadas asignadas en AD pueden acceder a la cuenta. Golden DMSA, similar a los ataques Golden GMSA Active Directory, se desarrolla en cuatro pasos una vez que un atacante ha obtenido privilegios elevados dentro de un dominio: extrayendo material de clave raíz KDS al elevar a los privilegios del sistema en uno de los controladores de dominio enumerando cuentas DMSA utilizando LSAOPENPOLICY y APEITS DE LSALOOKPSIDS o a través de un accesorio de acceso director de peso liviano (ldap). ManagedPassWordID Atribute y contraseña a través de la generación de contraseñas válidas (es decir, boletos de Kerberos) para cualquier GMSA o DMSA asociado con la clave comprometida y probarlas a través de pasar el hash o superar las técnicas de «este proceso no requiere acceso privilegiado adicional una vez que se obtiene la clave de KDS de KDS, lo que lo convierte en un método de persistencia particularmente peligroso». «El ataque destaca el límite de confianza crítico de las cuentas de servicio administrados. Se basan en claves criptográficas de nivel de dominio para la seguridad. Aunque la rotación automática de contraseñas proporciona una excelente protección contra los ataques de credenciales típicos, los administradores de dominios, las DNSADmins y los operadores impresos pueden evitar estas protecciones y comprometer todas las DMSA y GMSA en los bosques». Semperis señaló que la técnica DMSA dorada convierte la brecha en una puerta trasera persistente en todo el bosque, dado que comprometer la llave de la raíz KDS de cualquier dominio único dentro del bosque es suficiente para violar cada cuenta de DMSA en todos los dominios de ese bosque. En otras palabras, se puede armarse una extracción de clave raíz de KDS para lograr el compromiso de la cuenta de dominio cruzado, la recolección de credenciales en todo el bosque y el movimiento lateral a través de dominios utilizando las cuentas DMSA comprometidas. «Incluso en entornos con múltiples claves de raíz KDS, el sistema usa constantemente la primera clave (más antigua) KDS Root para razones de compatibilidad», señaló Malyanker. «Esto significa que la clave original que hemos comprometido podría ser conservada por el diseño de Microsoft, creando una puerta trasera persistente que podría durar años». Aún más preocupante es que el ataque deja completamente la protección de la guardia de credenciales normales, que se utilizan para asegurar los hash de contraseña NTLM, los boletos de tickets de Kerberos (TGTS) y las credenciales para que solo el software del sistema privilegiado pueda acceder a ellos. Después de la divulgación responsable el 27 de mayo de 2025, Microsoft dijo: «Si tiene los secretos utilizados para derivar la clave, puede autenticarse como ese usuario. Estas características nunca han tenido la intención de proteger contra un compromiso de un controlador de dominio». Semperis también ha publicado una fuente abierta como prueba de concepto (POC) para demostrar el ataque. «Lo que comienza como un compromiso de DC se intensifica para poseer cada servicio protegido por DMSA en todo un bosque empresarial», dijo Malyanker. «No es solo una escalada de privilegios. Es una dominación digital en toda la empresa a través de una sola vulnerabilidad criptográfica». ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

El 15 de junio de 2025Ravie Lakshmananbotnet / Network Security Cloudflare dijo el martes que mitigó 7.3 millones de ataques distribuidos de denegación de servicio (DDoS) en el segundo trimestre de 2025, una caída significativa de 20.5 millones de ataques DDoS que se ganó el trimestre anterior. «En general, en el segundo trimestre de 2025, los ataques DDoS hiper-volumétricos se dispararon», dijeron Omer Yoachimik y Jorge Pacheco. «Cloudflare bloqueó más de 6.500 ataques hiper-volumétricos DDoS, un promedio de 71 por día». En el primer trimestre de 2025, la compañía dijo que una campaña sostenida de 18 días contra su propia infraestructura crítica protegida por Cloudflare fue responsable de 13.5 millones de los ataques observados durante el período de tiempo. Acumulativamente, Cloudflare ha bloqueado casi 28 millones de ataques DDoS, superando el número de ataques que mitigó en todo 2024. El notable de los ataques en el segundo trimestre de 2025 es un ataques de DDoS asombrosos que alcanzó su punto máximo en 7.3 Terabits por segundo (Tbps) y 4.8 mil millones de paquetes por segundo (BPP) en un período de 45 segundos. Se pierden cómo los atacantes los están combinando con sondas más pequeñas y específicas. En lugar de simplemente sistemas abrumadores con fuerza bruta, están mezclando inundaciones a gran escala con escaneos tranquilos para encontrar puntos débiles y deslizar las defensas pasadas construidas para bloquear solo lo obvio. Los ataques de DDoS de capa 3/capa 4 (L3/4) disminuyeron un 81% de trimestre a 3,2 millones, mientras que los ataques DDoS HTTP aumentaron un 9% a 4.1 millones. Más del 70% de los ataques DDoS HTTP emanados de botnets conocidos. Los vectores de ataque L3/4 más comunes fueron ataques de inundación realizados sobre DNS, TCP SYN y protocolos UDP. Los proveedores y operadores de servicios de telecomunicaciones estuvieron entre los más dirigidos, seguidos de Internet, servicios de TI, juegos y sectores de juego. China, Brasil, Alemania, India, Corea del Sur, Turquía, Hong Kong, Vietnam, Rusia y Azerbaiyán surgieron como los lugares más atacados basados en el país de facturación de los clientes de Cloudflare. Indonesia, Singapur, Hong Kong, Argentina y Ucrania fueron las cinco principales fuentes de ataques DDoS. La compañía de infraestructura y seguridad web también reveló que el número de ataques DDoS hiper-volumétricos superiores a los 100 millones de paquetes por segundo (PPS) aumentó en un 592% en comparación con el trimestre anterior. Otro aspecto significativo es el aumento del 68% en el ataque DDoS Ransom, que ocurre cuando los actores maliciosos intentan extorsionar el dinero de una organización amenazándolos con un ataque DDoS. También involucra escenarios en los que se llevan a cabo los ataques y se exige un rescate para evitar que vuelva a suceder. «Si bien la mayoría de los ataques DDoS son pequeños, los ataques DDoS hiper-volumétricos están aumentando en tamaño y frecuencia», dijo Cloudflare. «Seis de cada 100 ataques DDoS HTTP exceden 1M RPS, y 5 de cada 10,000 ataques L3/4 DDoS exceden 1 TBPS, un aumento de QOQ del 1,150%». La compañía ha llamado la atención a una variante de botnet denomada DemonBot que infecta a los sistemas basados en Linux, predominantemente dispositivos IoT no garantizados, a través de puertos abiertos o credenciales débiles para aumentarlos en una botnet DDOS que puede llevar a cabo inundaciones UDP, TCP y capa de aplicación. «Los ataques suelen ser impulsados por comando y control (C2) y pueden generar un tráfico volumétrico significativo, a menudo dirigidos a los juegos, alojamiento o servicios empresariales», agregó. «Para evitar la infección, aprovechar el software antivirus y el filtrado de dominio». Los vectores de infección como los explotados por DemonBot resaltan desafíos más amplios con exposición no garantizada de IoT, credenciales de SSH débiles y firmware anticuados, temas comunes a través de la proliferación de botNet DDOS. Las estrategias de ataque relacionadas, como la reflexión de TCP, la amplificación del DNS y la evasión de la capa de ráfaga, se discuten cada vez más en los informes de amenaza de la capa de aplicaciones de Cloudflare y los desgloses de seguridad de las API. ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Los investigadores de seguridad cibernética han arrojado luz sobre una nueva operación de ransomware como servicio (RAAS) llamada Global Group que ha atacado a una amplia gama de sectores en Australia, Brasil, Europa y Estados Unidos desde su aparición a principios de 2025. El grupo global fue «promovido en el foro Ramp4u por el actor de amenaza conocido como ‘$$$'», el investigador Eclecticiq Arda B de Rükaya. «El mismo actor controla los Raas Blacklock y las operaciones de ransomware de Mamona previamente administradas». Se cree que Global Group es un cambio de marca de Blacklock después de que el sitio de fuga de datos de este último fue desfigurado por el cartel de ransomware de Dragonforce en marzo. Vale la pena mencionar que Blacklock en sí mismo es un cambio de marca de otro esquema Raas conocido como Eldorado. Se ha encontrado que el grupo de motivación financiera se inclina fuertemente en los corredores de acceso iniciales (IBAB) para implementar el ransomware armando el acceso a los electrodomésticos vulnerables de las redes de Cisco, Fortinet y Palo Alto. También se usan para utilizar la fuerza bruta para los portales de Microsoft Outlook y RDWEB. $$$ ha adquirido el protocolo de escritorio remoto (RDP) o el acceso a las redes corporativas a las redes corporativas, como las relacionadas con las firmas de abogados, como una forma de implementar herramientas posteriores a la explotación, realizar movimiento lateral, datos de sifón e implementar el ransomware. La subcontratación de la fase de infiltración a otros actores de amenaza, que suministran puntos de entrada precompprometidos a redes empresariales, permite a los afiliados gastar sus esfuerzos en la entrega de carga útil, la extorsión y la negociación en lugar de la penetración de la red. La plataforma RAAS viene con un portal de negociación y un panel de afiliados, el último de los cuales permite que los cibercriminales administren víctimas, construyan cargas útiles de ransomware para VMware ESXi, NAS, BSD y Windows, y operaciones de monitor. En un intento por atraer a más afiliados, los actores de amenaza prometen un modelo de intercambio de ingresos del 85%. «El panel de negociación de rescate de Global Group presenta un sistema automatizado impulsado por chatbots impulsados por la IA», dijo la compañía de seguridad holandesa. «Esto permite a los afiliados que no hablan inglés involucran a las víctimas de manera más efectiva». A partir del 14 de julio de 2025, el Grupo RAAS ha reclamado 17 víctimas en Australia, Brasil, Europa y Estados Unidos, que abarca la atención médica, la fabricación de equipos de aceite y gas, la maquinaria industrial y la ingeniería de precisión, la reparación automotriz, los servicios de recuperación de accidentes y la externalización de procesos comerciales a gran escala (BPO). Los enlaces a Blacklock y Mamona provienen del uso del mismo proveedor de VPS ruso ipserver y similitudes de código fuente con Mamona. Específicamente, se dice que Global Group es una evolución de Mamona con características adicionales para habilitar la instalación de ransomware de todo el dominio. Además, el malware también está escrito en GO, al igual que Blacklock. «La creación de Global Group del administrador de Blacklock es una estrategia deliberada para modernizar las operaciones, expandir las fuentes de ingresos y mantenerse competitivo en el mercado de ransomware», dijo Büyükkaya. «Esta nueva marca integra negociación con IA, paneles para dispositivos móviles y constructores de carga útil personalizables, atrayendo a un grupo más amplio de afiliados». La divulgación se produce cuando el Grupo de Ransomware Qilin surgió como la operación RAAS más activa en junio de 2025, representando a 81 víctimas. Otros jugadores principales incluyen Akira (34), Play (30), Safepay (27) y Dragonforce (25). «Safepay vio la disminución más pronunciada del 62.5%, lo que sugiere un retroceso importante», dijo Cyfirma, la compañía de seguridad cibernética. «Dragonforce surgió rápidamente, con ataques que aumentaron en un 212.5%». En total, el número total de víctimas de ransomware ha disminuido de 545 en mayo a 463 en junio de 2025, una disminución del 15%. Febrero encabeza la lista de este año con 956 víctimas. «A pesar de la disminución en los números, las tensiones geopolíticas y los ataques cibernéticos de alto perfil resaltan la creciente inestabilidad, potencialmente aumentando el riesgo de amenazas cibernéticas», señaló NCC Group a fines del mes pasado. Según los datos recopilados por el Centro Global de Inteligencia de Amenazas (GTIC) de Optiv, 314 víctimas de ransomware fueron enumeradas en 74 sitios de fuga de datos únicos en el primer trimestre de 2025, lo que representa un aumento del 213% en el número de víctimas. Se observaron un total de 56 variantes en el primer trimestre de 2024 «. Los operadores de ransomware continuaron utilizando métodos probados y verdaderos para obtener acceso inicial a las víctimas: ingeniería social/phishing, explotación de vulnerabilidades de software, compromiso de software expuesto e inseguro, ataques de cadena de suministro y apalancamiento de la comunidad inicial de accesorios (IAB)», dijo la investigación de Optiv Emily Lee. ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.