28 de octubre de 2024Ravie LakshmananCiberespionaje/Android Se ha observado una supuesta operación híbrida de espionaje e influencia rusa que entrega una combinación de malware para Windows y Android dirigida al ejército ucraniano bajo la personalidad de Telegram Defensa Civil. El Grupo de Análisis de Amenazas (TAG) de Google y Mandiant están rastreando la actividad con el nombre UNC5812. El grupo de amenazas, que opera un canal de Telegram llamado civildefense_com_ua, se creó el 10 de septiembre de 2024. Al momento de escribir este artículo, el canal tiene 184 suscriptores. También mantiene un sitio web en civildefense.com.[.]ua que se registró el 24 de abril de 2024. “‘Civil Defense’ afirma ser un proveedor de programas de software gratuitos diseñados para permitir que reclutas potenciales vean y compartan ubicaciones de reclutadores militares ucranianos mediante colaboración colectiva”, dijo la compañía en un informe compartido con The Noticias de piratas informáticos. Si estos programas se instalan en dispositivos Android que tienen Google Play Protect deshabilitado, están diseñados para implementar un malware específico del sistema operativo junto con una aplicación de mapeo señuelo denominada SUNSPINNER. También se dice que UNC5812 participa activamente en operaciones de influencia, difundiendo narrativas y solicitando contenido destinado a socavar el apoyo a los esfuerzos de movilización y reclutamiento militar de Ucrania. “La campaña de UNC5812 es muy característica del énfasis que Rusia pone en lograr un efecto cognitivo a través de sus capacidades cibernéticas, y destaca el papel destacado que las aplicaciones de mensajería siguen desempeñando en la entrega de malware y otras dimensiones cibernéticas de la guerra de Rusia en Ucrania”, dijo Google Threat Intelligence Group. . Defensa Civil, cuyo canal Telegram y su sitio web han sido promocionados por otros canales legítimos y establecidos de Telegram en idioma ucraniano, tiene como objetivo dirigir a las víctimas a su sitio web desde donde se descarga software malicioso dependiendo del sistema operativo. Para los usuarios de Windows, el archivo ZIP conduce a la implementación de un cargador de malware basado en PHP recientemente descubierto llamado Pronsis que se utiliza para distribuir SUNSPINNER y un malware ladrón disponible en el mercado conocido como PureStealer que se anuncia por entre $150 por una suscripción mensual a $699 por una licencia de por vida. SUNSPINNER, por su parte, muestra a los usuarios un mapa que muestra las supuestas ubicaciones de los reclutas militares ucranianos desde un servidor de comando y control (C2) controlado por actores. Para aquellos que navegan al sitio web desde dispositivos Android, la cadena de ataque implementa un archivo APK malicioso (nombre del paquete: “com.http.masters”) que incorpora un troyano de acceso remoto denominado CraxsRAT. El sitio web también incluye instrucciones que guían a las víctimas sobre cómo desactivar Google Play Protect y otorgarle todos los permisos solicitados, permitiendo que el malware funcione sin obstáculos. CraxsRAT es una famosa familia de malware para Android que viene con capacidades para el control remoto de dispositivos y funciones avanzadas de software espía como registro de teclas, manipulación de gestos y grabación de cámaras, pantallas y llamadas. Después de que Cyfirma expusiera públicamente el malware a finales de agosto de 2023, EVLF, el actor de amenazas detrás del proyecto, decidió cesar su actividad, no sin antes vender su canal de Telegram a un actor de amenazas de habla china. En mayo de 2024, se dice que EVLF detuvo el desarrollo del malware debido a estafadores y versiones descifradas, pero dijo que están trabajando en una nueva versión basada en web a la que se puede acceder desde cualquier máquina. “Si bien el sitio web de Defensa Civil también anuncia soporte para macOS y iPhone, sólo las cargas útiles de Windows y Android estaban disponibles en el momento del análisis”, dijo Google. “Las preguntas frecuentes del sitio web contienen una justificación tensa para que la aplicación de Android esté alojada fuera de la App Store, sugiriendo que es un esfuerzo para ‘proteger el anonimato y la seguridad’ de sus usuarios, y dirigiéndolos a un conjunto de instrucciones en video que las acompañan”. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Tag: las noticias de los piratas informáticos Page 2 of 35

El contenido al que intenta acceder es privado sólo para los usuarios miembros del sitio. Debe tener una membresía gratuita en CISO2CISO.COM para acceder a este contenido. Puedes registrarte gratis. Gracias. El Equipo de Asesores CISO2CISO. Nombre de usuario o correo electrónico Contraseña Recordarme Olvidé mi contraseña La entrada Resumen de ciberseguridad de THN: principales amenazas, herramientas y noticias (21 de octubre – 27 de octubre) – Fuente:thehackernews.com se publicó primero en CISO2CISO.COM & CYBER SECURITY GROUP.

28 de octubre de 2024Ravie LakshmananCyber Security / Hacking News Las noticias sobre ciberseguridad a veces pueden parecer una película de terror sin fin, ¿no? Justo cuando crees que los villanos están encerrados, una nueva amenaza emerge de las sombras. Esta semana no es una excepción, con historias de fallas explotadas, espionaje internacional y travesuras de IA que podrían hacerte girar la cabeza. Pero no se preocupe, estamos aquí para desglosarlo todo en un lenguaje sencillo y brindarle el conocimiento que necesita para mantenerse a salvo. ¡Así que tome sus palomitas de maíz (y tal vez un firewall) y sumérjase en el último drama de ciberseguridad! ⚡ La amenaza de la semana La falla crítica de Fortinet está siendo explotada: Fortinet reveló que una falla de seguridad crítica que afecta a FortiManager (CVE-2024-47575, puntuación CVSS: 9.8), que permite la ejecución remota de código no autenticado, ha sido objeto de explotación activa en la naturaleza. . Actualmente se desconoce exactamente quién está detrás de esto. Mandiant, propiedad de Google, está rastreando la actividad con el nombre UNC5820. 🚢🔐 Seguridad de Kubernetes para principiantes Cómo implementar una solución de seguridad de contenedores y las mejores prácticas de seguridad de Kubernetes, todo en uno. Esta guía incluye todo lo esencial que debe saber sobre cómo construir una base de seguridad sólida y ejecutar un sistema operativo bien protegido. Obtenga la guía ️🔥 CVE de tendencia CVE-2024-41992, CVE-2024-20481, CVE-2024-20412, CVE-2024-20424, CVE-2024-20329, CVE-2024-38094, CVE-2024-8260, CVE -2024-38812, CVE-2024-9537, CVE-2024-48904 🔔 Noticias principales Fallos criptográficos graves en 5 proveedores de almacenamiento en la nube: investigadores de ciberseguridad han descubierto problemas criptográficos graves en plataformas de almacenamiento en la nube cifradas de extremo a extremo (E2EE) Sync, pCloud, Icedrive, Seafile y Tresorit que podrían explotarse para inyectar archivos, alterar datos de archivos e incluso obtener acceso directo a texto sin formato. Los ataques, sin embargo, dependen de que un atacante obtenga acceso a un servidor para poder realizarlos. Lazarus explota la falla de Chrome: Al actor de amenazas norcoreano conocido como Lazarus Group se le ha atribuido la explotación de día cero de una falla de seguridad ahora parcheada en Google Chrome (CVE-2024-4947) para tomar el control de los dispositivos infectados. Google abordó la vulnerabilidad a mediados de mayo de 2024. La campaña, que se dice que comenzó en febrero de 2024, implicaba engañar a los usuarios para que visitaran un sitio web que anunciaba un juego de tanques multijugador en línea (MOBA), pero incorporaba JavaScript malicioso para activar explotar y otorgar a los atacantes acceso remoto a las máquinas. El sitio web también se utilizó para ofrecer un juego completamente funcional, pero empaquetado en código para ofrecer cargas útiles adicionales. En mayo de 2024, Microsoft atribuyó la actividad a un grupo que rastrea como Moonstone Sleet. Se corrigió un fallo de adquisición de cuenta del kit de desarrollo en la nube (CDK) de AWS: un fallo de seguridad ahora parcheado que afecta el kit de desarrollo en la nube (CDK) de Amazon Web Services (AWS) podría haber permitido a un atacante obtener acceso administrativo a una cuenta de AWS objetivo, lo que habría resultado en una completa toma de cuenta. Tras la divulgación responsable el 27 de junio de 2024, Amazon abordó el problema en la versión CDK 2.149.0 lanzada en julio de 2024. La SEC multa a 4 empresas por divulgaciones engañosas de SolarWinds: La Comisión de Bolsa y Valores de EE. UU. (SEC) acusó a cuatro empresas públicas, Avaya , Check Point, Mimecast y Unisys, por realizar “divulgaciones materialmente engañosas” relacionadas con el ciberataque a gran escala que surgió del hack de SolarWinds en 2020. La agencia federal acusó a las empresas de restar importancia a la gravedad de la violación en sus declaraciones públicas. declaraciones. 4 miembros de REvil sentenciados en Rusia: Cuatro miembros de la ahora desaparecida operación de ransomware REvil, Artem Zaets, Alexei Malozemov, Daniil Puzyrevsky y Ruslan Khansvyarov, han sido sentenciados a varios años de prisión en Rusia. Fueron arrestados originalmente en enero de 2022 luego de una operación policial por parte de las autoridades rusas. 📰 En todo el mundo cibernético Delta Air Lines demanda a CrowdStrike por un apagón en julio: Delta Air Lines presentó una demanda contra CrowdStrike en el estado estadounidense de Georgia, acusando al proveedor de ciberseguridad de incumplimiento de contrato y negligencia después de que un apagón importante en julio provocara 7.000 cancelaciones de vuelos. interrumpió los planes de viaje de 1,3 millones de clientes y le costó a la aerolínea más de 500 millones de dólares. “CrowdStrike causó una catástrofe global porque tomó atajos, tomó atajos y eludió los mismos procesos de prueba y certificación que anunciaba, para su propio beneficio y beneficio”, dijo. “Si CrowdStrike hubiera probado la actualización defectuosa incluso en una computadora antes de su implementación, la computadora habría fallado”. CrowdStrike dijo que “las afirmaciones de Delta se basan en información errónea refutada, demuestran una falta de comprensión de cómo funciona la ciberseguridad moderna y reflejan un intento desesperado de desviar la culpa de su lenta recuperación de su incapacidad para modernizar su anticuada infraestructura de TI”. Meta anuncia una forma segura de almacenar contactos de WhatsApp: Meta ha anunciado un nuevo sistema de almacenamiento cifrado para contactos de WhatsApp llamado Identity Proof Linked Storage (IPLS), que permite a los usuarios crear y guardar contactos junto con sus nombres de usuario directamente dentro de la plataforma de mensajería aprovechando la transparencia clave y módulo de seguridad de hardware (HSM). Hasta ahora, WhatsApp dependía de la libreta de contactos de un teléfono para fines de sincronización. NCC Group, que llevó a cabo una evaluación de seguridad del nuevo marco y descubrió 13 problemas, dijo que IPLS “tiene como objetivo almacenar los contactos dentro de la aplicación de un usuario de WhatsApp en los servidores de WhatsApp de una manera respetuosa con la privacidad” y que “los servidores de WhatsApp no tienen visibilidad”. en el contenido de los metadatos de contacto de un usuario”. Todas las deficiencias identificadas se solucionaron por completo en septiembre de 2024. CISA y el FBI investigan los ataques de tifones de sal: La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) dijo que el gobierno de EE. UU. está investigando “el acceso no autorizado a la infraestructura de telecomunicaciones comerciales” por parte de actores de amenazas vinculados a China. El desarrollo se produce en medio de informes de que el grupo de piratería Salt Typhoon irrumpió en las redes de AT&T, Verizon y Lumen. Las empresas afectadas fueron notificadas después de que se identificara la “actividad maliciosa”, dijo CISA. La amplitud de la campaña y la naturaleza de la información comprometida, si la hay, no están claras. Múltiples informes de The New York Times, The Wall Street Journal, Reuters, Associated Press y CBS News han afirmado que Salt Typhoon utilizó su acceso a gigantes de las telecomunicaciones para acceder a teléfonos o redes utilizadas por las campañas presidenciales demócratas y republicanas. El plan fraudulento de trabajadores de TI se convierte en un problema mayor: si bien Corea del Norte ha aparecido recientemente en las noticias por sus intentos de conseguir empleo en empresas occidentales, e incluso por exigir un rescate en algunos casos, un nuevo informe de la empresa de seguridad de identidad HYPR muestra que el plan de fraude de empleados no se limita sólo al país. La compañía dijo que recientemente ofreció un contrato a un ingeniero de software que decía ser de Europa del Este. Pero el posterior proceso de incorporación y verificación por video generó una serie de señales de alerta sobre su verdadera identidad y ubicación, lo que llevó al individuo anónimo a buscar otra oportunidad. Actualmente no hay evidencia que vincule la contratación fraudulenta con Corea del Norte, y no está claro qué buscaban. “Implementar un proceso de verificación de múltiples factores para vincular la identidad del mundo real con la identidad digital durante el proceso de aprovisionamiento”, dijo HYPR. “La verificación por vídeo es un control de identidad fundamental, y no sólo durante la incorporación”. Nuevos ataques a herramientas de inteligencia artificial: los investigadores han descubierto una forma de manipular las marcas de agua digitales generadas por AWS Bedrock Titan Image Generator, lo que permite a los actores de amenazas no solo aplicar marcas de agua a cualquier imagen, sino también eliminarlas de las imágenes generadas por la herramienta. AWS solucionó el problema a partir del 13 de septiembre de 2024. El desarrollo sigue al descubrimiento de fallas de inyección rápida en Google Gemini for Workspace, lo que permite al asistente de inteligencia artificial producir respuestas engañosas o no deseadas, e incluso distribuir documentos y correos electrónicos maliciosos a cuentas de destino. cuando los usuarios solicitan contenido relacionado con sus mensajes de correo electrónico o resúmenes de documentos. Una nueva investigación también ha encontrado una forma de ataque de secuestro de LLM en el que los actores de amenazas aprovechan las credenciales expuestas de AWS para interactuar con grandes modelos de lenguaje (LLM) disponibles en Bedrock, usándolos en un caso para impulsar una aplicación de chat de juegos de roles sexuales que libera el modelo de IA. a “aceptar y responder con contenido que normalmente estaría bloqueado” por él. A principios de este año, Sysdig detalló una campaña similar llamada LLMjacking que emplea credenciales de nube robadas para apuntar a servicios LLM con el objetivo de vender el acceso a otros actores de amenazas. Pero en un giro interesante, los atacantes ahora también están intentando utilizar las credenciales de nube robadas para habilitar los modelos, en lugar de simplemente abusar de los que ya estaban disponibles. 🔥 Recursos e información 🎥 Seminario web de expertos de Infosec Seguridad de datos maestros en la nube con DSPM: ¿Tiene dificultades para mantenerse al día con la seguridad de los datos en la nube? No permita que sus datos confidenciales se conviertan en una responsabilidad. Únase a nuestro seminario web y conozca cómo Global-e, un facilitador líder del comercio electrónico, mejoró drásticamente su postura de seguridad de datos con DSPM. El CISO Benny Bloch revela su viaje, incluidos los desafíos, los errores y las lecciones críticas aprendidas. Obtenga información útil sobre cómo implementar DSPM, reducir el riesgo y optimizar los costos de la nube. Regístrese ahora y obtenga una ventaja competitiva en el mundo actual basado en datos. 🛡️Pregúntele al experto P: ¿Cuál es la vulnerabilidad más pasada por alto en los sistemas empresariales y que los atacantes tienden a explotar? R: Las vulnerabilidades que más se pasan por alto en los sistemas empresariales a menudo radican en configuraciones incorrectas de IAM, como cuentas con permisos excesivos, seguridad de API laxa, TI en la sombra no administrada y federaciones en la nube mal protegidas. Herramientas como Azure PIM o SailPoint ayudan a imponer privilegios mínimos mediante la gestión de revisiones de acceso, mientras que Kong o Auth0 protegen las API mediante la rotación de tokens y la supervisión de WAF. Los riesgos de TI en la sombra se pueden reducir con Cisco Umbrella para el descubrimiento de aplicaciones y Netskope CASB para aplicar el control de acceso. Para proteger las federaciones, utilice Prisma Cloud u Orca para escanear configuraciones y ajustar las configuraciones, mientras que Cisco Duo habilita MFA adaptable para una autenticación más sólida. Finalmente, proteja las cuentas de servicio con administración automatizada de credenciales a través de HashiCorp Vault o AWS Secrets Manager, garantizando un acceso seguro y oportuno. 🔒 Consejo de la semana Mejore su seguridad DNS: si bien la mayoría de las personas se concentran en proteger sus dispositivos y redes, el Sistema de nombres de dominio (DNS), que traduce nombres de dominio legibles por humanos (como ejemplo.com) en direcciones IP legibles por máquinas, muchas veces se pasa por alto. Imagine Internet como una gran biblioteca y el DNS como su catálogo de fichas; Para encontrar el libro (sitio web) que desea, necesita la tarjeta (dirección) correcta. Pero si alguien manipuló el catálogo, podrían llevarle a sitios web falsos para robar su información. Para mejorar la seguridad de DNS, use un solucionador centrado en la privacidad que no rastree sus búsquedas (un catálogo privado), bloquee sitios maliciosos usando un archivo “hosts” (extraiga las tarjetas de libros peligrosos) y emplee una extensión de navegador con DNS filtrado (contrate a un bibliotecario para que esté atento). Además, habilite DNSSEC para verificar la autenticidad de los registros DNS (verifique la autenticidad de la tarjeta) y cifre sus solicitudes de DNS usando DoH o DoT (susurre sus solicitudes para que nadie más pueda escucharlas). Conclusión Y ahí lo tiene: otra semana de desafíos de ciberseguridad para reflexionar. Recuerde, en esta era digital, la vigilancia es clave. Manténgase informado, alerta y seguro en el mundo cibernético en constante evolución. Volveremos el próximo lunes con más noticias e ideas que le ayudarán a navegar por el panorama digital. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

Los investigadores de ciberseguridad han advertido sobre un aumento en las páginas de phishing creadas utilizando una herramienta de creación de sitios web llamada Webflow, a medida que los actores de amenazas continúan abusando de servicios legítimos como Cloudflare y Microsoft Sway para su beneficio. “Las campañas apuntan a información confidencial de diferentes billeteras criptográficas, incluidas Coinbase, MetaMask, Phantom, Trezor y Bitbuy, así como a credenciales de inicio de sesión para múltiples plataformas de correo web de la empresa, así como credenciales de inicio de sesión de Microsoft 365”, dijo el investigador de Netskope Threat Labs, Jan Michael Alcantara. dijo en un análisis. La compañía de ciberseguridad dijo que rastreó un aumento de 10 veces en el tráfico a páginas de phishing creadas con Webflow entre abril y septiembre de 2024, y los ataques se dirigieron a más de 120 organizaciones en todo el mundo. La mayoría de los destinatarios se encuentran en América del Norte y Asia y abarcan los sectores de servicios financieros, banca y tecnología. Se ha observado que los atacantes utilizan Webflow para crear páginas de phishing independientes, así como para redirigir a usuarios desprevenidos a otras páginas de phishing bajo su control. “El primero proporciona a los atacantes sigilo y facilidad porque no hay líneas de código de phishing que escribir y detectar, mientras que el segundo da flexibilidad al atacante para realizar acciones más complejas según sea necesario”, dijo Michael Alcantara. Lo que hace que Webflow sea mucho más atractivo que Cloudflare R2 o Microsoft Sway es que permite a los usuarios crear subdominios personalizados sin costo adicional, a diferencia de los subdominios alfanuméricos aleatorios generados automáticamente que son propensos a levantar sospechas – Cloudflare R2 – https:// pub-<32_alphanumeric_string>.r2.dev/webpage.htm Microsoft Sway: https://sway.cloud.microsoft/{16_alphanumeric_string}?ref={sharing_option} En un intento por aumentar la probabilidad de éxito del ataque, las páginas de phishing están diseñadas para imitar las páginas de inicio de sesión de sus contrapartes legítimas para engañar a los usuarios para que proporcionen sus credenciales, que luego se filtran a un servidor diferente en algunos casos. Netskope dijo que también identificó los sitios web de estafas criptográficas de Webflow que utilizan una captura de pantalla de la página de inicio de una billetera legítima como sus propias páginas de destino y redirigen al visitante al sitio de estafa real al hacer clic en cualquier parte del sitio falso. El objetivo final de la campaña de criptophishing es robar las frases iniciales de la víctima, lo que permite a los atacantes secuestrar el control de las carteras de criptomonedas y drenar los fondos. En los ataques identificados por la firma de ciberseguridad, a los usuarios que terminan proporcionando la frase de recuperación se les muestra un mensaje de error que indica que su cuenta ha sido suspendida debido a “actividad no autorizada y falla de identificación”. El mensaje también solicita al usuario que se comunique con su equipo de soporte iniciando un chat en línea en tawk.to. Vale la pena señalar que los servicios de chat como LiveChat, Tawk.to y Smartsupp se han utilizado indebidamente como parte de una campaña de estafa de criptomonedas denominada CryptoCore por Avast. “Los usuarios siempre deben acceder a páginas importantes, como su portal bancario o su correo web, escribiendo la URL directamente en el navegador web en lugar de utilizar motores de búsqueda o hacer clic en cualquier otro enlace”, dijo Michael Alcántara. El desarrollo se produce cuando los ciberdelincuentes anuncian novedosos servicios anti-bot en la web oscura que pretenden eludir las advertencias de Navegación segura de Google en el navegador web Chrome. “Los servicios anti-bot, como Otus Anti-Bot, Remove Red y Limitless Anti-Bot, se han convertido en la piedra angular de operaciones complejas de phishing”, dijo SlashNext en un informe reciente. “Estos servicios tienen como objetivo evitar que los rastreadores de seguridad identifiquen páginas de phishing y las incluyan en listas de bloqueo”. “Al filtrar los robots de ciberseguridad y ocultar las páginas de phishing de los escáneres, estas herramientas extienden la vida útil de los sitios maliciosos, ayudando a los delincuentes a evadir la detección por más tiempo”. También se han descubierto campañas continuas de malspam y publicidad maliciosa que propagan un malware en evolución activa llamado WARMCOOKIE (también conocido como BadSpace), que luego actúa como conducto para malware como CSharp-Streamer-RAT y Cobalt Strike. “WarmCookie ofrece una variedad de funcionalidades útiles para los adversarios, incluida la implementación de carga útil, manipulación de archivos, ejecución de comandos, recopilación de capturas de pantalla y persistencia, lo que lo hace atractivo para su uso en sistemas una vez que se ha obtenido el acceso inicial para facilitar el acceso persistente a largo plazo dentro de entornos de red comprometidos. “, dijo Cisco Talos. Un análisis del código fuente sugiere que el malware probablemente haya sido desarrollado por los mismos actores de amenazas que Resident, un implante posterior al compromiso implementado como parte de un conjunto de intrusión denominado TA866 (también conocido como Asylum Ambuscade), junto con el ladrón de información Rhadamanthys. Estas campañas han señalado al sector manufacturero, seguido de cerca por el gobierno y los servicios financieros. “Si bien los ataques a largo plazo asociados con las campañas de distribución parecen indiscriminados, la mayoría de los casos en los que se observaron cargas útiles de seguimiento se produjeron en los Estados Unidos, con casos adicionales repartidos por Canadá, el Reino Unido, Alemania, Italia, Austria y los Países Bajos. “, dijo Talos. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

28 de octubre de 2024Ravie LakshmananVulnerabilidad/Seguridad de Windows Se podría utilizar una nueva técnica de ataque para eludir Driver Signature Enforcement (DSE) de Microsoft en sistemas Windows completamente parcheados, lo que provocaría ataques de degradación del sistema operativo (SO). “Esta omisión permite cargar controladores de kernel no firmados, lo que permite a los atacantes implementar rootkits personalizados que pueden neutralizar controles de seguridad, ocultar procesos y actividad de red, mantener el sigilo y mucho más”, dijo el investigador de SafeBreach, Alon Leviev, en un informe compartido con The Hacker News. Los últimos hallazgos se basan en un análisis anterior que descubrió dos fallas de escalada de privilegios en el proceso de actualización de Windows (CVE-2024-21302 y CVE-2024-38202) que podrían usarse como arma para revertir un software de Windows actualizado a una versión anterior. que contiene vulnerabilidades de seguridad sin parches. El exploit se materializó en forma de una herramienta denominada Windows Downdate, que, según Leviev, podría usarse para secuestrar el proceso de actualización de Windows y crear degradaciones completamente indetectables, persistentes e irreversibles en componentes críticos del sistema operativo. Esto puede tener graves ramificaciones, ya que ofrece a los atacantes una mejor alternativa a los ataques Bring Your Own Vulnerable Driver (BYOVD), permitiéndoles degradar los módulos propios, incluido el propio kernel del sistema operativo. Posteriormente, Microsoft abordó CVE-2024-21302 y CVE-2024-38202 el 13 de agosto y el 8 de octubre de 2024, respectivamente, como parte de las actualizaciones del martes de parches. El último enfoque ideado por Leviev aprovecha la herramienta de degradación para degradar el parche de omisión DSE “ItsNotASecurityBoundary” en un sistema Windows 11 completamente actualizado. ItsNotASecurityBoundary fue documentado por primera vez por el investigador de Elastic Security Labs, Gabriel Landau, en julio de 2024 junto con PPLFault, y los describió como una nueva clase de error con nombre en código False File Immutability. Microsoft lo solucionó a principios de mayo. En pocas palabras, aprovecha una condición de carrera para reemplazar un archivo de catálogo de seguridad verificado con una versión maliciosa que contiene una firma de código de autenticación para un controlador de kernel sin firmar, tras lo cual el atacante solicita al kernel que cargue el controlador. El mecanismo de integridad del código de Microsoft, que se utiliza para autenticar un archivo utilizando la biblioteca ci.dll en modo kernel, luego analiza el catálogo de seguridad fraudulento para validar la firma del controlador y cargarlo, otorgando efectivamente al atacante la capacidad de ejecutar código arbitrario en el núcleo. La omisión de DSE se logra utilizando la herramienta de degradación para reemplazar la biblioteca “ci.dll” con una versión anterior (10.0.22621.1376.) para deshacer el parche implementado por Microsoft. Dicho esto, existe una barrera de seguridad que puede impedir que dicha derivación tenga éxito. Si la seguridad basada en virtualización (VBS) se está ejecutando en el host de destino, el análisis del catálogo lo realiza la DLL Secure Kernel Code Integrity (skci.dll), a diferencia de ci.dll. Sin embargo, vale la pena señalar que la configuración predeterminada es VBS sin bloqueo de interfaz de firmware extensible unificada (UEFI). Como resultado, un atacante podría desactivarlo alterando las claves de registro EnableVirtualizationBasedSecurity y RequirePlatformSecurityFeatures. Incluso en los casos en los que el bloqueo UEFI está habilitado, el atacante podría desactivar VBS reemplazando uno de los archivos principales con una contraparte no válida. En última instancia, los pasos de explotación que un atacante debe seguir se encuentran a continuación: Desactivar VBS en el Registro de Windows o invalidar SecureKernel.exe Degradar ci.dll a la versión sin parches Reiniciar la máquina Explotar la omisión de DSE ItsNotASecurityBoundary para lograr la ejecución de código a nivel de kernel El único El caso en el que falla es cuando VBS se activa con un bloqueo UEFI y un indicador “Obligatorio”, el último de los cuales provoca una falla en el arranque cuando los archivos VBS están dañados. El modo Obligatorio se habilita manualmente mediante un cambio de registro. “La configuración Obligatoria impide que el cargador del sistema operativo continúe arrancándose en caso de que el hipervisor, el kernel seguro o uno de sus módulos dependientes no se cargue”, señala Microsoft en su documentación. “Se debe tener especial cuidado antes de habilitar este modo, ya que, en caso de cualquier fallo de los módulos de virtualización, el sistema se negará a arrancar.” Por lo tanto, para mitigar completamente el ataque, es esencial que VBS esté habilitado con el bloqueo UEFI y el indicador Mandatorio configurado. En cualquier otro modo, hace posible que un adversario desactive la función de seguridad, realice la degradación de DDL y logre una omisión de DSE. “La conclusión principal […] es que las soluciones de seguridad deben intentar detectar y prevenir procedimientos de degradación incluso para componentes que no cruzan límites de seguridad definidos”, dijo Leviev a The Hacker News. ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

26 de octubre de 2024Ravie LakshmananCibercrimen / Malware Cuatro miembros de la ahora desaparecida operación de ransomware REvil han sido condenados a varios años de prisión en Rusia, lo que supone uno de los raros casos en los que ciberdelincuentes del país han sido condenados por piratería informática y blanqueo de dinero. cargos. La publicación de noticias rusa Kommersant informó que un tribunal de San Petersburgo declaró culpables a Artem Zaets, Alexei Malozemov, Daniil Puzyrevsky y Ruslan Khansvyarov de circulación ilegal de medios de pago. Puzyrevsky y Khansvyarov también han sido declarados culpables de utilizar y distribuir malware. Por este motivo, Zaets y Malozemov fueron condenados a 4,5 y 5 años de prisión. Khansvyarov y Puzyrevsky recibieron penas de cárcel de 5,5 y 6 años, respectivamente. Los cuatro individuos forman parte de un grupo de 14 personas que fueron inicialmente detenidas en relación con el caso. Como informó TASS en enero de 2022, ocho de ellos fueron acusados por el tribunal por sus actividades maliciosas. Los cuatro miembros restantes, Andrei Bessonov, Mikhail Golovachuk, Roman Muromsky y Dmitry Korotaev, están siendo procesados en un nuevo caso penal relacionado con el acceso ilegal a información informática, añadió Kommersant. REvil, que alguna vez fue uno de los grupos de ransomware más prolíficos, fue desmantelado después de que el Servicio Federal de Seguridad (FSB) de Rusia anunciara arrestos contra varios miembros en un desmantelamiento sin precedentes. A principios de este año, un ciudadano ucraniano de 24 años llamado Yaroslav Vasinskyi fue sentenciado a 13 años de prisión en los EE. UU. y se le ordenó pagar 16 millones de dólares en restitución por llevar a cabo más de 2.500 ataques de ransomware REvil y exigir pagos de rescate por una suma de más de 700 millones de dólares. La sentencia de los miembros de REvil en Rusia también se produce un mes después de que las autoridades del país abrieran una investigación sobre Cryptex y UAPS, ambos sancionados por Estados Unidos por ofrecer servicios de lavado de dinero a ciberdelincuentes. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

26 de octubre de 2024Ravie LakshmananSeguridad en la nube / Criptomonedas El infame grupo de criptojacking conocido como TeamTNT parece estar preparándose para una nueva campaña a gran escala dirigida a entornos nativos de la nube para extraer criptomonedas y alquilar servidores pirateados a terceros. “El grupo actualmente está apuntando a demonios Docker expuestos para implementar malware Sliver, un gusano cibernético y criptomineros, utilizando servidores comprometidos y Docker Hub como infraestructura para difundir su malware”, dijo Assaf Morag, director de inteligencia de amenazas de la firma de seguridad en la nube Aqua. en un informe publicado el viernes. La actividad de ataque es una vez más un testimonio de la persistencia del actor de amenazas y su capacidad para evolucionar sus tácticas y montar ataques de múltiples etapas con el objetivo de comprometer los entornos Docker y alistarlos en un Docker Swarm. Además de utilizar Docker Hub para alojar y distribuir sus cargas maliciosas, se ha observado que TeamTNT ofrece el poder computacional de las víctimas a otras partes para la minería ilícita de criptomonedas, diversificando su estrategia de monetización. Los rumores sobre la campaña de ataque surgieron a principios de este mes cuando Datadog reveló intentos maliciosos de acorralar instancias de Docker infectadas en un Docker Swarm, aludiendo que podría ser trabajo de TeamTNT, sin llegar a hacer una atribución formal. Pero hasta ahora no ha quedado claro el alcance total de la operación. Morag dijo a The Hacker News que Datadog “encontró la infraestructura en una etapa muy temprana” y que su descubrimiento “obligó al actor de amenazas a cambiar un poco la campaña”. Los ataques implican identificar puntos finales de Docker API expuestos y no autenticados usando Masscan y ZGrab y usarlos para la implementación de criptomineros y vender la infraestructura comprometida a otros en una plataforma de alquiler de minería llamada Mining Rig Rentals, descargando efectivamente el trabajo de tener que administrarlos ellos mismos, una señal de la maduración del modelo de negocio ilícito. Específicamente, esto se lleva a cabo mediante un script de ataque que busca demonios Docker en los puertos 2375, 2376, 4243 y 4244 en casi 16,7 millones de direcciones IP. Posteriormente, implementa un contenedor que ejecuta una imagen de Alpine Linux con comandos maliciosos. La imagen, recuperada de una cuenta de Docker Hub comprometida (“nmlm99”) bajo su control, también ejecuta un script de shell inicial llamado Docker Gatling Gun (“TDGGinit.sh”) para iniciar actividades posteriores a la explotación. Un cambio notable observado por Aqua es el cambio de la puerta trasera Tsunami al marco de comando y control (C2) de código abierto Sliver para controlar de forma remota los servidores infectados. “Además, TeamTNT continúa usando sus convenciones de nomenclatura establecidas, como Chimaera, TDGG y bioset (para operaciones C2), lo que refuerza la idea de que esta es una campaña clásica de TeamTNT”, dijo Morag. “En esta campaña, TeamTNT también utiliza anondns (AnonDNS o DNS anónimo es un concepto o servicio diseñado para proporcionar anonimato y privacidad al resolver consultas de DNS), para apuntar a su servidor web”. Los hallazgos se producen cuando Trend Micro arroja luz sobre una nueva campaña que implicó un ataque de fuerza bruta dirigido contra un cliente anónimo para entregar la botnet de criptominería Prometei. “Prometei se propaga en el sistema explotando vulnerabilidades en el Protocolo de escritorio remoto (RDP) y el Bloque de mensajes del servidor (SMB)”, dijo la compañía, destacando los esfuerzos del actor de amenazas para establecer persistencia, evadir herramientas de seguridad y obtener un acceso más profundo a la información de una organización. red mediante volcado de credenciales y movimiento lateral. “Las máquinas afectadas se conectan a un servidor de grupo de minería que puede usarse para extraer criptomonedas (Monero) en máquinas comprometidas sin el conocimiento de la víctima”. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

26 de octubre de 2024Ravie LakshmananCiberataque/Inteligencia sobre amenazas El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha detallado una nueva campaña de correo electrónico malicioso dirigida a agencias gubernamentales, empresas y entidades militares. “Los mensajes explotan el atractivo de integrar servicios populares como Amazon o Microsoft e implementar una arquitectura de confianza cero”, dijo CERT-UA. “Estos correos electrónicos contienen archivos adjuntos en forma de archivos de configuración del Protocolo de escritorio remoto (‘.rdp’). Una vez ejecutados, los archivos RDP establecen una conexión con un servidor remoto, lo que permite a los actores de amenazas obtener acceso remoto a los hosts comprometidos, robar datos y plantar malware adicional para ataques posteriores. Se cree que la preparación de la infraestructura para la actividad ha estado en marcha desde al menos agosto de 2024, y la agencia afirmó que es probable que salga de Ucrania y se dirija a otros países. CERT-UA ha atribuido la campaña a un actor de amenazas al que rastrea como UAC-0215. Amazon Web Service (AWS), en su propio aviso, lo vinculó con el grupo de piratería del estado-nación ruso conocido como APT29. “Algunos de los nombres de dominio que utilizaron intentaron engañar a los objetivos haciéndoles creer que los dominios eran dominios de AWS (no lo eran), pero Amazon no era el objetivo, ni el grupo buscaba las credenciales de los clientes de AWS”, dijo CJ Moses, jefe de información de Amazon. dijo el oficial de seguridad. “Más bien, APT29 buscó las credenciales de Windows de sus objetivos a través de Microsoft Remote Desktop”. El gigante tecnológico dijo que también se apoderó de los dominios que el adversario estaba usando para hacerse pasar por AWS con el fin de neutralizar la operación. Algunos de los dominios utilizados por APT29 se enumeran a continuación: ca-west-1.mfa-gov[.]nube central-2-aws.ua-aws[.]ejército us-east-2-aws.ua-gov[.]nube aws-ukraine.cloud aws-data.cloud aws-s3.cloud aws-il.cloud aws-join.cloud aws-meet.cloud aws-meetings.cloud aws-online.cloud aws-secure.cloud s3-aws[.]nube s3-fbi[.]nube s3-nsa[.]nube y s3-proofpoint[.]nube El desarrollo se produce cuando CERT-UA también advirtió sobre un ciberataque a gran escala destinado a robar información confidencial de usuarios ucranianos. La amenaza ha sido catalogada bajo el nombre de UAC-0218. El punto de partida del ataque es un correo electrónico de phishing que contiene un enlace a un archivo RAR con trampa explosiva que pretende ser facturas o detalles de pago. Dentro del archivo hay un malware basado en Visual Basic Script denominado HOMESTEEL que está diseñado para filtrar archivos que coinciden con ciertas extensiones (“xls”, “xlsx”, “doc”, “docx”, “pdf”, “txt”, “csv, ” “rtf”, “ods”, “odt”, “eml”, “pst”, “rar” y “zip”) a un servidor controlado por un atacante. “De esta manera, los delincuentes pueden obtener acceso a datos personales, financieros y otros datos sensibles y utilizarlos para chantajear o robar”, dijo CERT-UA. Además, CERT-UA ha alertado sobre una campaña estilo ClickFix que está diseñada para engañar a los usuarios con enlaces maliciosos incrustados en mensajes de correo electrónico para colocar un script de PowerShell que es capaz de establecer un túnel SSH, robar datos de navegadores web y descargar e iniciar Metasploit. marco de pruebas de penetración. Los usuarios que hacen clic en el enlace son dirigidos a una página de verificación reCAPTCHA falsa que les solicita que verifiquen su identidad haciendo clic en un botón. Esta acción copia el script malicioso de PowerShell (“Browser.ps1”) al portapapeles del usuario y muestra una ventana emergente con instrucciones para ejecutarlo usando el cuadro de diálogo Ejecutar en Windows. CERT-UA dijo que tiene un “nivel promedio de confianza” en que la campaña es obra de otro actor ruso de amenazas persistentes avanzadas conocido como APT28 (también conocido como UAC-0001). Las ciberofensivas contra Ucrania se producen en medio de un informe de Bloomberg que detalla cómo la agencia de inteligencia militar de Rusia y el Servicio Federal de Seguridad (FSB) atacaron sistemáticamente la infraestructura y el gobierno de Georgia como parte de una serie de intrusiones digitales entre 2017 y 2020. Algunos de los ataques han sido fijado en Turla. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

25 de octubre de 2024The Hacker NewsInteligencia artificial/seguridad de identidad La inteligencia artificial (IA) ha evolucionado rápidamente desde un concepto futurista hasta convertirse en un arma potente en manos de malos actores. Hoy en día, los ataques basados en IA no son sólo amenazas teóricas: ocurren en todas las industrias y están superando los mecanismos de defensa tradicionales. La solución, sin embargo, no es futurista. Resulta que una plataforma de seguridad de identidad diseñada adecuadamente es capaz de ofrecer defensas contra el fraude de suplantación de identidad por IA. Lea más sobre cómo una plataforma de identidad segura por diseño puede eliminar el fraude de IA y servir como un componente crítico en esta nueva era de ciberdefensa. La creciente amenaza del fraude por suplantación de identidad mediante IA Incidentes recientes resaltan el alarmante potencial del fraude impulsado por IA: estos casos subrayan una verdad fundamental: los atacantes han explotado y seguirán explotando todas las herramientas a su disposición para violar las organizaciones, y la IA ha simplificado significativamente sus esfuerzos al mismo tiempo. reduciendo costos. Las limitaciones de las soluciones actuales Si bien la industria de la ciberseguridad ha respondido con herramientas de detección de deepfake y una mejor capacitación del usuario final, estos enfoques son fundamentalmente defectuosos porque: La carrera armamentista de la IA: la detección de deepfake y los generadores de deepfake están atrapados en una lucha perpetua desde que un modelo entrena al otro. contra el otro, sin que ninguna de las partes mantenga una ventaja duradera. Detección probabilística: las soluciones de detección ofrecen defensas probabilísticas, lo que deja margen para el error. Carga para los usuarios finales: confiar en la vigilancia del usuario impone a los individuos una expectativa poco realista de discernir engaños cada vez más sofisticados. Un cambio de paradigma: la defensa de la IA como una extensión de la seguridad de la identidad El fraude de suplantación de identidad por IA es otra manifestación más de una seguridad de la identidad débil. En estos ataques, los malos actores aún deben primero comprometer la identidad de un usuario legítimo sin ser detectado para poder extorsionar de manera convincente a las víctimas para obtener ganancias financieras e influencia política. Si bien muchas herramientas de detección de IA hacen mejores conjeturas para identificar deepfakes, una plataforma de identidad segura por diseño puede proporcionar garantías criptográficas de que un usuario es quien dice ser y utiliza un dispositivo confiable y compatible. Las ventajas clave de una plataforma de identidad segura por diseño incluyen: Sólida garantía de identidad: las credenciales susceptibles de phishing facilitan que los actores malintencionados asuman la identidad de un usuario legítimo. Beyond Identity solo autentica a los usuarios con credenciales resistentes al phishing mediante claves de acceso vinculadas al dispositivo para eliminar los ataques basados en la identidad. Cumplimiento de la seguridad del dispositivo: solo permita que los dispositivos reconocidos que pasen sus controles de seguridad accedan a los recursos de la empresa, incluidas las videoconferencias y otras herramientas de colaboración. Evaluación integral de riesgos: utilice señales de riesgo de usuarios y dispositivos en tiempo real capturadas por nuestra plataforma y señales de riesgo recopiladas de otras herramientas de seguridad. en su entorno para tomar decisiones de acceso precisas y adaptables. Presentamos RealityCheck de Beyond Identity RealityCheck de Beyond Identity amplía nuestra plataforma de identidad segura por diseño para brindar defensa contra el fraude profundo de IA. Además de una sólida garantía de identidad, cumplimiento de la seguridad del dispositivo y evaluaciones integrales de riesgos, esta característica proporciona certificaciones visuales de la identidad y la seguridad del dispositivo dentro de las herramientas de comunicación y videoconferencia. Garantizar la seguridad de la identidad y del dispositivo es el primer paso necesario para prevenir con éxito el fraude de IA. El segundo paso es dar a conocer esa seguridad a los usuarios finales con una insignia visual a prueba de manipulaciones para que puedan colaborar con confianza con la persona adecuada; esto es lo que ofrece RealityCheck. Actualmente, RealityCheck está integrado con Zoom y Microsoft Teams y próximamente habrá integraciones adicionales con Slack y el correo electrónico. ¿Listo para defender su organización del fraude deepfake de IA? Una plataforma de identidad segura por diseño se define por su capacidad para erradicar los riesgos de identidad desde cero, proporcionando una defensa sólida contra amenazas actuales y emergentes, incluida la omisión de MFA, el phishing y el fraude de suplantación de identidad mediante IA. RealityCheck es parte de la plataforma de acceso seguro de Beyond Identity, la única plataforma IAM diseñada para eliminar los ataques de identidad. Con el panorama cambiante de las amenazas basadas en la identidad, se volvió imperativo ampliar nuestras garantías de seguridad básicas para defendernos contra los ataques de suplantación de identidad de la IA. Con RealityCheck de Beyond Identity, puede proteger las herramientas de videoconferencia con bases de identidad seguras por diseño y certificaciones visuales a prueba de manipulaciones. Póngase en contacto para obtener una demostración personalizada y ver de primera mano cómo funciona la solución. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

25 de octubre de 2024Ravie LakshmananVulnerabilidad/seguridad de Wi-Fi Una falla de seguridad que afecta a Wi-Fi Test Suite podría permitir a atacantes locales no autenticados ejecutar código arbitrario con privilegios elevados. El Centro de Coordinación CERT (CERT/CC) dijo que la vulnerabilidad, rastreada como CVE-2024-41992, dijo que el código susceptible de Wi-Fi Alliance se encontró implementado en los enrutadores Arcadyan FMIMG51AX000J. “Esta falla permite que un atacante local no autenticado explote el Wi-Fi Test Suite enviando paquetes especialmente diseñados, permitiendo la ejecución de comandos arbitrarios con privilegios de root en los enrutadores afectados”, dijo el CERT/CC en un aviso publicado el miércoles. Wi-Fi Test Suite es una plataforma integrada desarrollada por Wi-Fi Alliance que automatiza las pruebas de componentes o dispositivos Wi-Fi. Si bien los componentes de código abierto del kit de herramientas están disponibles públicamente, el paquete completo está disponible sólo para sus miembros. SSD Secure Disclosure, que publicó detalles de la falla en agosto de 2024, la describió como un caso de inyección de comandos que podría permitir a un actor de amenazas ejecutar comandos con privilegios de root. Se informó originalmente a Wi-Fi Alliance en abril de 2024. A un investigador independiente, que utiliza el alias en línea “fj016”, se le atribuye el mérito de descubrir e informar las deficiencias de seguridad. El investigador también puso a disposición un exploit de prueba de concepto (PoC) para la falla. CERT/CC señaló que Wi-Fi Test Suite no está diseñado para su uso en entornos de producción y, sin embargo, se ha descubierto en implementaciones de enrutadores comerciales. “Un atacante que aproveche con éxito esta vulnerabilidad puede obtener control administrativo total sobre el dispositivo afectado”, dijo. “Con este acceso, el atacante puede modificar la configuración del sistema, interrumpir servicios de red críticos o restablecer el dispositivo por completo. Estas acciones pueden provocar interrupciones del servicio, comprometer los datos de la red y una posible pérdida del servicio para todos los usuarios que dependen de la red afectada. ” En ausencia de un parche, se recomienda a los proveedores que han incluido Wi-Fi Test Suite que lo eliminen por completo de los dispositivos de producción o lo actualicen a la versión 9.0 o posterior para mitigar el riesgo de explotación. The Hacker News se ha puesto en contacto con Wi-Fi Alliance para obtener más comentarios y actualizaremos la historia cuando tengamos noticias. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.