Etiqueta: Ataques ciberneticos Página 1 de 14

10 de mayo de 2024The Hacker NewsInteligencia artificial/caza de amenazas La inteligencia artificial (IA) está transformando la ciberseguridad, y quienes lideran la carga la están utilizando para burlar las amenazas cibernéticas cada vez más avanzadas. Únase a nosotros en un interesante seminario web, «El futuro de la caza de amenazas está impulsado por la IA generativa», donde explorará cómo las herramientas de IA están dando forma al futuro de las defensas de ciberseguridad. Durante la sesión, el investigador de seguridad de Censys, Aidan Holland, le presentará CensysGPT, una herramienta de vanguardia que revoluciona la búsqueda de amenazas y la investigación de ciberseguridad. Con CensysGPT, puede hacer preguntas en lenguaje sencillo, comprender las búsquedas de la competencia y descubrir información a partir de los datos de la red como nunca antes. He aquí por qué debería asistir: Descubra lo último: aprenda cómo la IA generativa está cambiando el juego en ciberseguridad e inteligencia sobre amenazas. Busque de forma más inteligente y rápida: vea cómo CensysGPT le ayuda a encontrar amenazas más rápidamente, reduciendo el riesgo de su organización. Fortalezca sus defensas: descubra cómo incorporar la IA en su estrategia de seguridad para adaptarse a las amenazas en evolución. Manténgase a la vanguardia: sea uno de los primeros en aprovechar el potencial revolucionario de herramientas como CensysGPT en ciberseguridad. Experimente el poder de CensysGPT de primera mano. Aidan Holland mostrará cómo le permite: Identificar vulnerabilidades tempranamente: Detectar posibles debilidades en su sistema antes de que se conviertan en problemas. Simplifique las búsquedas de la competencia: obtenga información competitiva sin consultas complejas. Convierta los datos en acción: transforme los datos de la red en conocimientos prácticos para una respuesta rápida a las amenazas. Si es un profesional de la ciberseguridad, un entusiasta de la TI o simplemente está intrigado por el futuro de la ciberdefensa, este seminario web es esencial. Asegure su lugar ahora y explore cómo la IA está remodelando la ciberseguridad. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

09 de mayo de 2024Sala de prensaSeguridad móvil/ataque cibernético Las instituciones gubernamentales polacas han sido atacadas como parte de una campaña de malware a gran escala orquestada por un actor-estado-nación vinculado a Rusia llamado APT28. «La campaña envió correos electrónicos con contenido destinado a despertar el interés del destinatario y persuadirlo a hacer clic en el enlace», dijo el equipo de respuesta a emergencias informáticas, CERT Polska, en un boletín del miércoles. Al hacer clic en el enlace se redirige a la víctima al dominio run.mocky[.]io, que, a su vez, se utiliza para redirigir a otro sitio legítimo llamado webhook[.]site, un servicio gratuito que permite a los desarrolladores inspeccionar los datos que se envían a través de un webhook, en un esfuerzo por evadir la detección. El paso paso implica la descarga de un archivo ZIP desde el webhook.[.]sitio, que contiene el binario de la Calculadora de Windows que se hace pasar por un archivo de imagen JPG («IMG-238279780.jpg.exe»), un archivo de secuencia de comandos por lotes oculto y otro archivo DLL oculto («WindowsCodecs.dll»). Si una víctima ejecuta la aplicación, el archivo DLL malicioso se carga lateralmente mediante una técnica llamada carga lateral de DLL para finalmente ejecutar el script por lotes, mientras que las imágenes de una «mujer real en traje de baño junto con enlaces a sus cuentas reales en «Plataformas de redes sociales» se muestran en un navegador web para mantener la artimaña. El script por lotes descarga simultáneamente una imagen JPG («IMG-238279780.jpg») desde el webhook.[.]sitio que posteriormente se renombra a un script CMD («IMG-238279780.cmd) y se ejecuta, después de lo cual recupera la carga útil de la etapa final para recopilar información sobre el host comprometido y enviar los detalles de regreso. CERT Polska dijo que la cadena de ataque tiene similitudes con una campaña anterior que propagó una puerta trasera personalizada llamada HeadLace. Vale la pena señalar que el abuso de servicios legítimos como Mocky y webhook.[.]sitio es una táctica adoptada repetidamente por los actores de APT28 para eludir la detección por parte del software de seguridad. «Si su organización no utiliza los servicios mencionados anteriormente, le recomendamos que considere bloquear los dominios mencionados en los dispositivos perimetrales», agregó. «Independientemente de si utiliza los sitios web mencionados anteriormente, también recomendamos filtrar los correos electrónicos en busca de enlaces en webhook.site y run.mocky.io, porque los casos de uso legítimo en el contenido del correo electrónico son muy raros». El hecho se produce días después de que los países de la OTAN acusaran al grupo respaldado por el Kremlin de llevar a cabo una campaña de ciberespionaje a largo plazo dirigida a sus entidades políticas, instituciones estatales e infraestructura crítica. Las actividades maliciosas de APT28 también se han expandido para apuntar a dispositivos iOS con el software espía XAgent, que Trend Micro detalló por primera vez en relación con una campaña denominada Operación Pawn Storm en febrero de 2015. «XAgent, dirigido principalmente a entidades políticas y gubernamentales en Europa occidental, posee capacidades para control remoto y exfiltración de datos», dijo Symantec, propiedad de Broadcom. «Puede recopilar información sobre los contactos de los usuarios, mensajes, detalles del dispositivo, aplicaciones instaladas, capturas de pantalla y registros de llamadas. Estos datos podrían usarse potencialmente para ingeniería social o campañas de phishing». La noticia de los ataques de APT28 a entidades polacas también sigue a un aumento en los ataques con motivación financiera por parte de grupos de delitos electrónicos rusos como UAC-0006 dirigidos a Ucrania en la segunda mitad de 2023, incluso cuando organizaciones en Rusia y Bielorrusia han sido atacadas por un actor-estado-nación. conocido como Midge para entregar malware capaz de saquear información confidencial. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

09 de mayo de 2024Sala de prensaCifrado/Privacidad de datos Los investigadores han detallado una técnica de derivación de la red privada virtual (VPN) denominada TunnelVision que permite a los actores de amenazas espiar el tráfico de red de la víctima simplemente estando en la misma red local. Al método de «decloaking» se le ha asignado el identificador CVE CVE-2024-3661 (puntuación CVSS: 7,6). Afecta a todos los sistemas operativos que implementan un cliente DHCP y admite rutas de la opción 121 de DHCP. En esencia, TunnelVision implica el enrutamiento del tráfico sin cifrado a través de una VPN mediante un servidor DHCP configurado por el atacante utilizando la opción de ruta estática sin clases 121 para establecer una ruta en la tabla de enrutamiento del usuario de VPN. También surge del hecho de que el protocolo DHCP, por diseño, no autentica dichos mensajes de opción, exponiéndolos así a manipulación. DHCP es un protocolo cliente/servidor que proporciona automáticamente a un host de Protocolo de Internet (IP) su dirección IP y otra información de configuración relacionada, como la máscara de subred y la puerta de enlace predeterminada, para acceder a la red y sus recursos. También ayuda a configurar de manera confiable las direcciones IP a través de un servidor que mantiene un conjunto de direcciones IP y alquila una dirección a cualquier cliente habilitado para DHCP cuando se inicia en la red. Debido a que estas direcciones IP son dinámicas (es decir, arrendadas) en lugar de estáticas (es decir, asignadas permanentemente), las direcciones que ya no están en uso se devuelven automáticamente al grupo para su reasignación. La vulnerabilidad, en pocas palabras, hace posible que un atacante con la capacidad de enviar mensajes DHCP manipule rutas para redirigir el tráfico VPN, permitiéndole así leer, interrumpir o posiblemente modificar el tráfico de red que se esperaba que estuviera protegido por la VPN. . «Debido a que esta técnica no depende de la explotación de tecnologías VPN o protocolos subyacentes, funciona completamente independientemente del proveedor o la implementación de VPN», dijeron los investigadores de Leviathan Security Group, Dani Cronce y Lizzie Moratti. «Nuestra técnica consiste en ejecutar un servidor DHCP en la misma red que un usuario VPN objetivo y también configurar nuestra configuración DHCP para que se utilice como puerta de enlace. Cuando el tráfico llega a nuestra puerta de enlace, utilizamos reglas de reenvío de tráfico en el servidor DHCP para pasar tráfico a través de una puerta de enlace legítima mientras la espiamos». En otras palabras, TunnelVision engaña al usuario de VPN haciéndole creer que sus conexiones están seguras y enrutadas a través de un túnel cifrado, cuando en realidad ha sido redirigido al servidor del atacante para que pueda ser potencialmente inspeccionado. Sin embargo, para poder desenmascarar con éxito el tráfico VPN, el cliente DHCP del host objetivo debe implementar la opción 121 de DHCP y aceptar una concesión de DHCP del servidor controlado por el atacante. El ataque también es similar a TunnelCrack, que está diseñado para filtrar tráfico fuera de un túnel VPN protegido cuando se conecta a una red Wi-Fi no confiable o a un ISP fraudulento, lo que resulta en ataques de adversario en el medio (AitM). El problema afecta a todos los principales sistemas operativos como Windows, Linux, macOS e iOS, con la excepción de Android, ya que no es compatible con la opción DHCP 121. También afecta a las herramientas VPN que dependen únicamente de reglas de enrutamiento para proteger el tráfico del host. Desde entonces, Mullvad ha confirmado que las versiones de escritorio de su software tienen reglas de firewall para bloquear cualquier tráfico a IP públicas fuera del túnel VPN, pero reconoció que la versión de iOS es vulnerable a TunnelVision. Sin embargo, aún debe integrarse y enviar una solución debido a la complejidad de la tarea, en la que, según la compañía sueca, ha estado trabajando durante «algún tiempo». «La vulnerabilidad TunnelVision (CVE-2024-3661) expone un método para que los atacantes eviten la encapsulación de VPN y redireccionen el tráfico fuera del túnel VPN», dijeron los investigadores de Zscaler, describiéndolo como una técnica que emplea un ataque de inanición de DHCP para crear un canal lateral. . «Esta técnica implica utilizar la opción 121 de DHCP para enrutar el tráfico sin cifrado a través de una VPN y, en última instancia, enviarlo a Internet a través de un canal lateral creado por el atacante». Para mitigar TunnelVision, se recomienda a las organizaciones implementar vigilancia DHCP, protecciones ARP y seguridad de puertos en los conmutadores. También se recomienda implementar espacios de nombres de red en Linux para corregir el comportamiento. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

09 de mayo de 2024Sala de prensaFirewall/Seguridad de red Se han descubierto dos vulnerabilidades de seguridad en F5 Next Central Manager que podrían ser explotadas por un actor de amenazas para tomar el control de los dispositivos y crear cuentas de administrador ocultas y fraudulentas para la persistencia. Las fallas explotables remotamente «pueden dar a los atacantes un control administrativo total del dispositivo y, posteriormente, permitirles crear cuentas en cualquier activo F5 administrado por Next Central Manager», dijo la firma de seguridad Eclypsium en un nuevo informe. Una descripción de los dos problemas es la siguiente: CVE-2024-21793 (puntuación CVSS: 7,5) – Una vulnerabilidad de inyección de OData que podría permitir a un atacante no autenticado ejecutar sentencias SQL maliciosas a través de la API de BIG-IP NEXT Central Manager CVE-2024- 26026 (puntuación CVSS: 7,5): una vulnerabilidad de inyección SQL que podría permitir a un atacante no autenticado ejecutar declaraciones SQL maliciosas a través de la API BIG-IP Next Central Manager. Ambas fallas afectan las versiones de Next Central Manager desde 20.0.1 a 20.1.0. Las deficiencias se han solucionado en la versión 20.2.0. La explotación exitosa de los errores puede resultar en un control administrativo total del dispositivo, lo que permite a los atacantes combinarlo con otras fallas para crear nuevas cuentas en cualquier activo de BIG-IP Next administrado por el Administrador Central. Es más, estas cuentas maliciosas permanecerían ocultas al propio Gestor Central. Esto es posible gracias a una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) que permite invocar una API no documentada y crear las cuentas. «Esto significa que incluso si se restablece la contraseña de administrador en el Administrador Central y se parchea el sistema, el acceso del atacante aún podría permanecer», dijo la compañía de seguridad de la cadena de suministro. Eclypsium también descubrió dos debilidades más que podrían simplemente realizar ataques de fuerza bruta contra las contraseñas de administrador y permitir a un administrador restablecer sus contraseñas sin conocer la anterior. Un atacante podría utilizar este problema como arma para bloquear el acceso legítimo al dispositivo desde cada cuenta. Si bien no hay indicios de que las vulnerabilidades hayan sido explotadas activamente en la naturaleza, se recomienda que los usuarios actualicen sus instancias a la última versión para mitigar posibles amenazas. «La infraestructura de redes y aplicaciones se ha convertido en un objetivo clave de los atacantes en los últimos años», dijo Eclypsium. «La explotación de estos sistemas altamente privilegiados puede brindar a los adversarios una forma ideal de obtener acceso, difundirse y mantener la persistencia dentro de un entorno». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Los permisos en plataformas SaaS como Salesforce, Workday y Microsoft 365 son notablemente precisos. Explican exactamente qué usuarios tienen acceso a qué conjuntos de datos. La terminología difiere entre aplicaciones, pero el permiso básico de cada usuario está determinado por su función, mientras que se pueden otorgar permisos adicionales según las tareas o proyectos en los que esté involucrado. Además de eso, se encuentran los permisos personalizados requeridos por un usuario individual. Por ejemplo, mire a un representante de ventas que participa en un equipo tigre que investiga la deserción y al mismo tiempo capacita a dos nuevos empleados. El rol del representante de ventas le otorgaría un conjunto de permisos para acceder a los datos de los clientes potenciales, mientras que el proyecto del equipo tigre le otorgaría acceso a los datos de los clientes existentes. Mientras tanto, se configuran permisos especiales que brindan al representante de ventas visibilidad de las cuentas de los dos nuevos empleados. Si bien estos permisos son precisos, también son muy complejos. Los administradores de aplicaciones no tienen una única pantalla dentro de estas aplicaciones que muestre cada permiso otorgado a un usuario. Agregar y eliminar permisos puede convertirse en una pesadilla, ya que pasan de una pantalla a otra revisando los permisos. De hecho, en las conversaciones con los CISO y los administradores, asociar usuarios y permisos aparece como uno de sus mayores puntos débiles. Necesitan una solución que ofrezca visibilidad de 360 ​​grados de los permisos de los usuarios, lo que les permitiría hacer cumplir la política de la empresa en toda la organización a nivel de objeto, campo y registro. Obtener todos los permisos en un solo lugar puede contribuir significativamente a una sólida estrategia de seguridad de SaaS, ofreciendo beneficios en muchas áreas para permitir a la empresa hacer cumplir las políticas en toda la organización. Descubra cómo un SSPM puede administrar sus permisos en una vista holística Reducción de la superficie de ataque de SaaS Un inventario de permisos centralizado es fundamental para permitir a las organizaciones disminuir significativamente su superficie de ataque, fortaleciendo así su postura de ciberseguridad. Al identificar y restringir sistemáticamente los permisos de usuario innecesarios, la plataforma ayuda a reducir la superficie de ataque, minimizando las vías disponibles para que los actores maliciosos las exploten. Además, permite a las organizaciones descubrir y gestionar el acceso no humano, como cuentas de servicio o procesos automatizados, garantizando que cada punto de entrada sea examinado y controlado de forma eficaz. Esta supervisión permite ajustar el equilibrio de seguridad y productividad dentro de las políticas de acceso, garantizando que se implementen medidas de seguridad estrictas sin impedir la eficiencia operativa. Además, un inventario de permisos juega un papel fundamental en la identificación y eliminación de cuentas con privilegios excesivos, que representan vulnerabilidades potenciales dentro del sistema. Al eliminar estas cuentas o ajustar sus permisos para alinearlos con los requisitos laborales reales, las organizaciones pueden mitigar el riesgo de acceso no autorizado y escalada de privilegios. Además, la plataforma ayuda a la detección proactiva de abusos de privilegios, señalando rápidamente cualquier actividad anómala que pueda indicar una infracción o una amenaza interna. A través de estas capacidades integrales, el Inventario de Permisos actúa como un mecanismo de defensa proactivo, reforzando la resiliencia organizacional contra las amenazas cibernéticas en evolución. Gestión de múltiples inquilinos Un inventario de permisos único también facilita la comparación de permisos de usuario entre diferentes inquilinos y entornos. Los equipos de seguridad pueden ver y comparar perfiles, conjuntos de permisos y permisos de usuarios individuales en paralelo desde toda la aplicación. Esto permite que la seguridad encuentre instancias de permisos excesivos, usuarios parcialmente desaprovisionados y usuarios externos de diferentes inquilinos. Mejorar el cumplimiento normativo Un inventario de permisos es una herramienta vital para ayudar a las organizaciones a lograr el cumplimiento normativo en múltiples frentes. Con capacidades de recertificación de acceso, permite a las empresas revisar y validar periódicamente los permisos de los usuarios, garantizando la alineación con los requisitos reglamentarios y las políticas internas. Al facilitar los controles de segregación de funciones (SOD), protege contra conflictos de intereses y ayuda a cumplir con los estándares de cumplimiento establecidos por regulaciones como SOX. Obtener una vista única de los permisos ayuda a controlar el acceso a datos confidenciales, como información de identificación personal (PII) y datos financieros, mitigando el riesgo de violaciones de datos y garantizando el cumplimiento de las leyes de protección de datos. Además, un inventario de permisos administrado centralmente permite a las organizaciones implementar controles de acceso basados ​​en roles (RBAC) y controles de acceso basados ​​en atributos (ABAC), agilizando los procesos de gestión de acceso y garantizando que los usuarios tengan los permisos adecuados según sus roles y atributos, mejorando así el nivel general. esfuerzos de cumplimiento normativo. Optimice la seguridad de SaaS con un inventario de permisos De cara al futuro, el desafío de administrar permisos en entornos SaaS como Salesforce, Workday y Microsoft 365 está a punto de volverse aún más crítico a medida que las organizaciones continúen adoptando soluciones SaaS. A medida que aumenta la complejidad de los permisos, también aumenta la necesidad de una solución integral que ofrezca visibilidad y control. En un futuro próximo, las organizaciones pueden esperar la aparición de herramientas para abordar el desafío de la gestión de permisos. Estas herramientas dentro de una solución de gestión de postura SaaS (SSPM) proporcionarán un panel unificado que agrega permisos de varias aplicaciones SaaS, proporcionando a los administradores de aplicaciones y a los equipos de seguridad una visión holística del acceso de los usuarios. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

08 de mayo de 2024Sala de prensaCifrado/ladrón de información Se ha observado que una versión más nueva de un cargador de malware llamado Hijack Loader incorpora un conjunto actualizado de técnicas antianálisis para pasar desapercibida. «Estas mejoras tienen como objetivo aumentar el sigilo del malware, por lo que permanece sin ser detectado durante períodos de tiempo más largos», dijo en un informe técnico el investigador de Zscaler ThreatLabz, Muhammed Irfan VA. «Hijack Loader ahora incluye módulos para agregar una exclusión para Windows Defender Antivirus, evitar el Control de cuentas de usuario (UAC), evadir el enlace de API en línea que a menudo utiliza el software de seguridad para la detección y emplear el vaciado de procesos». Hijack Loader, también llamado IDAT Loader, es un cargador de malware que la empresa de ciberseguridad documentó por primera vez en septiembre de 2023. En los meses intermedios, la herramienta se ha utilizado como conducto para distribuir varias familias de malware. Esto incluye a Amadey, Lumma Stealer (también conocido como LummaC2), Meta Stealer, Racoon Stealer V2, Remcos RAT y Rhadamanthys. Lo que hace que la última versión sea notable es el hecho de que descifra y analiza una imagen PNG para cargar la carga útil de la siguiente etapa, una técnica que Morphisec detalló por primera vez en relación con una campaña dirigida a entidades ucranianas con sede en Finlandia. El cargador, según Zscaler, viene equipado con una primera etapa, que es responsable de extraer e iniciar la segunda etapa a partir de una imagen PNG que está incrustada en ella o descargada por separado según la configuración del malware. «El objetivo principal de la segunda etapa es inyectar el módulo de instrumentación principal», explicó Irfan. «Para aumentar el sigilo, la segunda etapa del cargador emplea más técnicas anti-análisis utilizando múltiples módulos». Los artefactos de Hijack Loader detectados en marzo y abril de 2024 también incorporan hasta siete módulos nuevos para ayudar a crear nuevos procesos, realizar la omisión de UAC y agregar una exclusión de Windows Defender Antivirus mediante un comando de PowerShell. Al sigilo del malware se suma el uso de la técnica Heaven’s Gate para eludir los ganchos del modo de usuario, como lo reveló CrowdStrike en febrero de 2024. «Amadey ha sido la familia más comúnmente entregada por HijackLoader», dijo Irfan. «La carga de la segunda etapa implica el uso de una imagen PNG incrustada o una imagen PNG descargada de la web. Además, se han integrado nuevos módulos en HijackLoader, mejorando sus capacidades y haciéndolo aún más robusto». El desarrollo se produce en medio de campañas de malware que distribuyen diferentes familias de cargadores de malware como DarkGate, FakeBat (también conocido como EugenLoader) y GuLoader mediante ataques de publicidad maliciosa y phishing. También sigue la aparición de un ladrón de información llamado TesseractStealer que es distribuido por ViperSoftX y utiliza el motor de reconocimiento óptico de caracteres (OCR) Tesseract de código abierto para extraer texto de archivos de imagen. «El malware se centra en datos específicos relacionados con credenciales e información de billeteras de criptomonedas», dijo Symantec, propiedad de Broadcom. «Además de TesseractStealer, también se ha observado que algunas de las ejecuciones recientes de ViperSoftX arrojan otra carga útil de la familia de malware Quasar RAT». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

El equipo de piratería respaldado por el estado iraní llamado APT42 está utilizando esquemas mejorados de ingeniería social para infiltrarse en redes objetivo y entornos de nube. Los objetivos del ataque incluyen ONG occidentales y de Medio Oriente, organizaciones de medios, académicos, servicios legales y activistas, dijo Mandiant, filial de Google Cloud, en un informe publicado la semana pasada. «Se observó a APT42 haciéndose pasar por periodistas y organizadores de eventos para generar confianza con sus víctimas a través de correspondencia continua y para entregar invitaciones a conferencias o documentos legítimos», dijo la compañía. «Estos esquemas de ingeniería social permitieron a APT42 recolectar credenciales y usarlas para obtener acceso inicial a entornos de nube. Posteriormente, el actor de amenazas exfiltró encubiertamente datos de interés estratégico para Irán, mientras confiaba en funciones integradas y herramientas de código abierto para evitar la detección. «. APT42 (también conocido como Damselfly y UNC788), documentado por primera vez por la empresa en septiembre de 2022, es un grupo de ciberespionaje patrocinado por el estado iraní encargado de realizar operaciones de vigilancia y recopilación de información contra personas y organizaciones de interés estratégico para el gobierno iraní. Se considera un subconjunto de otro grupo de amenazas infame rastreado como APT35, que también se conoce con varios nombres CALANQUE, CharmingCypress, Charming Kitten, ITG18, Mint Sandstorm (anteriormente Phosphorus), Newscaster, TA453 y Yellow Garuda. Ambos grupos están afiliados al Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI), pero operan con un conjunto diferente de objetivos. Mientras que Charming Kitten se centra más en operaciones a largo plazo con uso intensivo de malware dirigidas a organizaciones y empresas de EE. UU. y Oriente Medio para robar datos. APT42, por el contrario, apunta a individuos y organizaciones específicas a las que el régimen tiene en mente con fines de política interna, política exterior y estabilidad del régimen. A principios de enero, Microsoft atribuyó al actor Charming Kitten a campañas de phishing dirigidas a personas de alto perfil que trabajan en asuntos de Oriente Medio en universidades y organizaciones de investigación en Bélgica, Francia, Gaza, Israel, el Reino Unido y Estados Unidos desde noviembre de 2023. Se sabe que el grupo involucra extensas operaciones de recolección de credenciales para recopilar credenciales de Microsoft, Yahoo y Google a través de correos electrónicos de phishing que contienen enlaces maliciosos para atraer documentos que redirigen a los destinatarios a una página de inicio de sesión falsa. En estas campañas, se ha observado que el adversario envía correos electrónicos desde dominios que tipifican las entidades originales y se hacen pasar por medios de comunicación; servicios legítimos como Dropbox, Google Meet, LinkedIn y YouTube; y demonios de correo y herramientas de acortamiento de URL. Los ataques de apropiación de credenciales se complementan con actividades de exfiltración de datos dirigidas a la infraestructura de nube pública de las víctimas para obtener documentos que son de interés para Irán, pero sólo después de ganarse su confianza, algo en lo que Charming Kitten está bien versado. Familias de malware conocidas asociadas con APT42 «Estas operaciones comenzaron con esquemas de ingeniería social mejorados para obtener el acceso inicial a las redes de la víctima, a menudo implicando correspondencia continua para generar confianza con la víctima», dijo Mandiant. «Sólo entonces se adquieren las credenciales deseadas y se omite la autenticación multifactor (MFA), proporcionando un sitio web clonado para capturar el token MFA (que falló) y luego enviando notificaciones push de MFA a la víctima (que tuvo éxito)». En un esfuerzo por ocultar sus huellas y mezclarse, se descubrió que el adversario dependía de herramientas disponibles públicamente, extraía archivos a una cuenta de OneDrive haciéndose pasar por la organización de la víctima y empleaba VPN e infraestructura anónima para interactuar con el entorno comprometido. APT42 también utiliza dos puertas traseras personalizadas que actúan como punto de partida para implementar malware adicional o ejecutar comandos manualmente en el dispositivo: NICECURL (también conocido como BASICSTAR): una puerta trasera escrita en VBScript que puede descargar módulos adicionales para ejecutar, incluida la minería de datos. y ejecución de comandos arbitrarios TAMECAT: un punto de apoyo de PowerShell que puede ejecutar contenido arbitrario de PowerShell o C#. Vale la pena señalar que NICECURL fue analizado previamente por la empresa de ciberseguridad Volexity en febrero de 2024 en relación con una serie de ataques cibernéticos dirigidos a expertos en políticas de Medio Oriente. «APT42 se ha mantenido relativamente centrado en la recopilación de inteligencia y en atacar victimología similar, a pesar de la guerra entre Israel y Hamas que ha llevado a otros actores del nexo con Irán a adaptarse mediante la realización de actividades disruptivas, destructivas y de piratería y filtración», concluyó Mandiant. «Los métodos implementados por APT42 dejan una huella mínima y podrían hacer que la detección y mitigación de sus actividades sea más desafiante para los defensores de la red». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

La Agencia Nacional contra el Crimen (NCA) del Reino Unido ha desenmascarado al administrador y desarrollador de la operación de ransomware LockBit, revelando que se trata de un ciudadano ruso de 31 años llamado Dmitry Yuryevich Khoroshev. Además, Khoroshev ha sido sancionado por la Oficina de Asuntos Exteriores, Commonwealth y Desarrollo (FCD) del Reino Unido, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos y el Departamento de Asuntos Exteriores de Australia. Europol, en un comunicado de prensa, dijo que las autoridades están en posesión de más de 2.500 claves de descifrado y continúan contactando a las víctimas de LockBit para ofrecerles apoyo. Khoroshev, conocido con los apodos LockBitSupp y putinkrab, también se ha convertido en objeto de congelaciones de activos y prohibiciones de viaje, y el Departamento de Estado de Estados Unidos ofrece una recompensa de hasta 10 millones de dólares por información que conduzca a su arresto y/o condena. Anteriormente, la agencia había anunciado ofertas de recompensa de hasta 15 millones de dólares en busca de información que condujera a la identidad y ubicación de los líderes clave del grupo variante del ransomware LockBit, así como información que condujera a los arrestos y/o condenas de los miembros del grupo. Al mismo tiempo, una acusación formal revelada por el Departamento de Justicia (DoJ) ha acusado a Khoroshev de 26 cargos, incluido un cargo de conspiración para cometer fraude, extorsión y actividades relacionadas con computadoras; un cargo de conspiración para cometer fraude electrónico; ocho cargos de daño intencional a una computadora protegida; ocho cargos de extorsión en relación con información confidencial de una computadora protegida; y ocho cargos de extorsión en relación con daños a una computadora protegida. En total, los cargos conllevan una pena máxima de 185 años de prisión. Cada uno de los cargos conlleva además una pena monetaria que es mayor entre 250.000 dólares, una ganancia pecuniaria para el infractor o un daño pecuniario para la víctima. Con la última acusación, se han acusado a un total de seis miembros afiliados a la conspiración LockBit, entre ellos Mikhail Vasiliev, Mikhail Matveev, Ruslan Magomedovich Astamirov, Artur Sungatov e Ivan Kondratyev. «El anuncio de hoy pone otro gran clavo en el ataúd de LockBit y nuestra investigación continúa», dijo el director general de la NCA, Graeme Biggar. «Ahora también estamos apuntando a afiliados que han utilizado los servicios de LockBit para infligir devastadores ataques de ransomware en escuelas, hospitales y empresas importantes de todo el mundo». LockBit, que era uno de los grupos de ransomware como servicio (RaaS) más prolíficos, fue desmantelado como parte de una operación coordinada denominada Cronos a principios de febrero. Se estima que se dirigió a más de 2.500 víctimas en todo el mundo y recibió más de 500 millones de dólares en pagos de rescate. «El ransomware LockBit se ha utilizado contra empresas australianas, británicas y estadounidenses, lo que representa el 18% del total de incidentes de ransomware reportados en Australia en 2022-23 y 119 víctimas reportadas en Australia», dijo Penny Wong, Ministra de Relaciones Exteriores de Australia. Según el modelo de negocio RaaS, LockBit otorga licencias de su software de ransomware a sus afiliados a cambio de una reducción del 80% de los rescates pagados. El grupo de delitos electrónicos también es conocido por sus tácticas de doble extorsión, en las que se extraen datos confidenciales de las redes de las víctimas antes de cifrar los sistemas informáticos y exigir el pago de un rescate. Se cree que Khoroshev, que inició LockBit alrededor de septiembre de 2019, ha obtenido al menos 100 millones de dólares en desembolsos como parte del plan durante los últimos cuatro años. «El verdadero impacto de la criminalidad de LockBit se desconocía anteriormente, pero los datos obtenidos de sus sistemas mostraron que entre junio de 2022 y febrero de 2024, se crearon más de 7.000 ataques utilizando sus servicios», dijo la NCA. «Los cinco países más afectados fueron Estados Unidos, Reino Unido, Francia, Alemania y China». Los intentos de LockBit de resurgir después de la acción policial han sido, en el mejor de los casos, infructuosos, lo que lo llevó a publicar víctimas antiguas y falsas en su nuevo sitio de fuga de datos. «LockBit ha creado un nuevo sitio de filtración en el que han inflado la actividad aparente al publicar a las víctimas atacadas antes de que la NCA tomara el control de sus servicios en febrero, además de atribuirse el mérito de los ataques perpetrados utilizando otras cepas de ransomware», señaló la agencia. Se estima que el esquema RaaS abarcó a 194 afiliados hasta el 24 de febrero, de los cuales 148 realizaron ataques y 119 participaron en negociaciones de rescate con las víctimas. «De los 119 que iniciaron negociaciones, hay 39 que aparentemente nunca recibieron el pago de un rescate», señaló la NCA. «Setenta y cinco no participaron en ninguna negociación, por lo que tampoco parecen haber recibido ningún pago de rescate». Desde entonces, el número de afiliados activos de LockBit se redujo a 69, dijo la NCA, agregando que LockBit no eliminaba rutinariamente los datos robados una vez que se pagaba el rescate y que descubrió numerosos casos en los que el descifrador proporcionado a las víctimas no funcionó como se esperaba. «Como líder central del grupo LockBit y desarrollador del ransomware LockBit, Khoroshev ha desempeñado una variedad de funciones operativas y administrativas para el grupo de delitos cibernéticos y se ha beneficiado financieramente de los ataques del ransomware LockBit», dijo el Departamento del Tesoro de Estados Unidos. «Khoroshev ha facilitado la actualización de la infraestructura de LockBit, ha reclutado nuevos desarrolladores para el ransomware y ha gestionado las filiales de LockBit. También es responsable de los esfuerzos de LockBit para continuar con las operaciones después de su interrupción por parte de Estados Unidos y sus aliados a principios de este año». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

06 de mayo de 2024Sala de prensaSeguridad de red/Malware La campaña de ciberespionaje recientemente descubierta dirigida a dispositivos de red perimetral de varios proveedores, incluido Cisco, puede haber sido obra de actores vinculados a China, según nuevos hallazgos de la firma de gestión de superficies de ataque Censys. Se dice que la actividad, denominada ArcaneDoor, comenzó alrededor de julio de 2023, y el primer ataque confirmado contra una víctima anónima se detectó a principios de enero de 2024. Los ataques dirigidos, orquestados por un presunto actor sofisticado patrocinado por el estado previamente indocumentado, rastreado como UAT4356 (también conocido como Storm -1849), implicó la implementación de dos malware personalizados denominados Line Runner y Line Dancer. La vía de acceso inicial utilizada para facilitar las intrusiones aún no se ha descubierto, aunque se ha observado que el adversario aprovecha dos fallas ahora parcheadas en Cisco Adaptive Security Appliances (CVE-2024-20353 y CVE-2024-20359) para persistir en Line Runner. Los datos de telemetría recopilados como parte de la investigación han revelado el interés del actor de amenazas en los servidores Microsoft Exchange y dispositivos de red de otros proveedores, dijo Talos el mes pasado. Censys, que examinó más a fondo las direcciones IP controladas por los actores, dijo que los ataques apuntan a la posible participación de un actor de amenazas con sede en China. Esto se basa en el hecho de que cuatro de los cinco hosts en línea que presentan el certificado SSL identificado como asociado con la infraestructura de los atacantes están asociados con los sistemas autónomos (AS) de Tencent y ChinaNet. Además, entre las direcciones IP administradas por los actores de amenazas se encuentra un host con sede en París (212.193.2[.]48) con el asunto y el emisor establecidos como «Gozargah», que probablemente sea una referencia a una cuenta de GitHub que alberga una herramienta anticensura llamada Marzban. El software, a su vez, está «impulsado» por otro proyecto de código abierto llamado Xray que tiene un sitio web escrito en chino. Esto implica que «algunos de estos hosts estaban ejecutando servicios asociados con software anticensura probablemente destinado a eludir el Gran Cortafuegos», y que «un número significativo de estos hosts están basados ​​en redes chinas prominentes», lo que sugiere que ArcaneDoor podría ser el trabajo de un actor chino, teorizó Censys. En los últimos años, los actores de los estados-nación afiliados a China se han dirigido cada vez más a los dispositivos de borde, aprovechando las fallas de día cero en Barracuda Networks, Fortinet, Ivanti y VMware para infiltrarse en objetivos de interés e implementar malware para un acceso encubierto persistente. El desarrollo se produce cuando la empresa francesa de ciberseguridad Sekoia dijo que logró hundir un servidor de comando y control (C2) vinculado al troyano PlugX en septiembre de 2023 al gastar $7 para adquirir la dirección IP vinculada a una variante del malware con capacidades para propagarse en en forma de gusano a través de unidades flash comprometidas. Una vigilancia más estrecha de la dirección IP oculta (45.142.166[.]112) ha revelado la presencia del gusano en más de 170 países que abarcan 2,49 millones de direcciones IP únicas durante un período de seis meses. La mayoría de las infecciones se han detectado en Nigeria, India, China, Irán, Indonesia, el Reino Unido, Irak, Estados Unidos, Pakistán y Etiopía. «Muchas naciones, excluyendo a India, participan en la Iniciativa de la Franja y la Ruta de China y tienen, en su mayoría, costas donde las inversiones chinas en infraestructura son significativas», dijo Sekoia. «Numerosos países afectados están ubicados en regiones de importancia estratégica para la seguridad de la Iniciativa de la Franja y la Ruta». «Este gusano fue desarrollado para recopilar inteligencia en varios países sobre las preocupaciones estratégicas y de seguridad asociadas con la Iniciativa de la Franja y la Ruta, principalmente en sus aspectos marítimos y económicos». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

06 de mayo de 2024Sala de prensaVulnerabilidad/Seguridad del servidor Se ha descubierto que más del 50 % de los 90 310 hosts exponen un servicio Tinyproxy en Internet que es vulnerable a una falla de seguridad crítica sin parchear en la herramienta de proxy HTTP/HTTPS. El problema, registrado como CVE-2023-49606, tiene una puntuación CVSS de 9,8 sobre un máximo de 10, según Cisco Talos, que lo describió como un error de uso después de la liberación que afecta a las versiones 1.10.0 y 1.11.1, que es la última versión. «Un encabezado HTTP especialmente diseñado puede provocar la reutilización de la memoria previamente liberada, lo que conduce a la corrupción de la memoria y podría conducir a la ejecución remota de código», dijo Talos en un aviso la semana pasada. «Un atacante necesita realizar una solicitud HTTP no autenticada para activar esta vulnerabilidad». En otras palabras, un actor de amenazas no autenticado podría enviar un encabezado de conexión HTTP especialmente diseñado para provocar daños en la memoria que pueden resultar en la ejecución remota de código. Según los datos compartidos por la empresa de gestión de superficies de ataque Censys, de los 90.310 hosts que exponen un servicio Tinyproxy a la Internet pública al 3 de mayo de 2024, 52.000 (~57%) de ellos ejecutan una versión vulnerable de Tinyproxy. La mayoría de los hosts de acceso público se encuentran en EE. UU. (32.846), Corea del Sur (18.358), China (7.808), Francia (5.208) y Alemania (3.680). Talos, que informó del problema hasta el 22 de diciembre de 2023, también publicó una prueba de concepto (PoC) para la falla, que describe cómo el problema con el análisis de las conexiones de conexión HTTP podría usarse como arma para provocar una falla y, en algunos casos, ejecución de código. Los mantenedores de Tinyproxy, en una serie de confirmaciones realizadas durante el fin de semana, criticaron a Talos por enviar el informe a una probablemente «dirección de correo electrónico desactualizada», y agregaron que un mantenedor del paquete Debian Tinyproxy les informó el 5 de mayo de 2024. «No Se presentó un problema de GitHub y nadie mencionó una vulnerabilidad en el chat IRC mencionado», dijo rofl0r en un compromiso. «Si el problema se hubiera informado en Github o IRC, el error se habría solucionado en un día». Se recomienda a los usuarios que actualicen a la última versión cuando esté disponible. También se recomienda que el servicio Tinyproxy no esté expuesto a la Internet pública. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.