Etiqueta: noticias cibernéticas Página 6 de 8

09 de marzo de 2024Sala de prensaCyber ​​Attack / Threat Intelligence Microsoft reveló el viernes que el actor de amenazas respaldado por el Kremlin conocido como Midnight Blizzard (también conocido como APT29 o Cozy Bear) logró obtener acceso a algunos de sus repositorios de código fuente y sistemas internos luego de un ataque eso salió a la luz en enero de 2024. «En las últimas semanas, hemos visto evidencia de que Midnight Blizzard está utilizando información inicialmente extraída de nuestros sistemas de correo electrónico corporativo para obtener, o intentar obtener, acceso no autorizado», dijo el gigante tecnológico. «Esto ha incluido el acceso a algunos de los repositorios de código fuente y sistemas internos de la compañía. Hasta la fecha no hemos encontrado evidencia de que los sistemas de cara al cliente alojados en Microsoft hayan sido comprometidos». Redmond, que continúa investigando el alcance de la violación, dijo que el actor de amenazas patrocinado por el estado ruso está intentando aprovechar los diferentes tipos de secretos que encontró, incluidos aquellos que se compartieron entre los clientes y Microsoft por correo electrónico. Sin embargo, no reveló cuáles eran estos secretos ni la escala del compromiso, aunque dijo que se había comunicado directamente con los clientes afectados. No está claro a qué código fuente se accedió. Al afirmar que ha aumentado sus inversiones en seguridad, Microsoft señaló además que el adversario incrementó sus ataques de pulverización de contraseñas hasta 10 veces en febrero, en comparación con el «volumen ya grande» observado en enero. «El ataque en curso de Midnight Blizzard se caracteriza por un compromiso sostenido y significativo de los recursos, la coordinación y el enfoque del actor de la amenaza», dijo. «Puede estar utilizando la información que ha obtenido para acumular una imagen de las áreas que atacar y mejorar su capacidad para hacerlo. Esto refleja lo que se ha convertido en un panorama de amenazas globales sin precedentes, especialmente en términos de ataques sofisticados a Estados-nación». Se dice que la infracción de Microsoft tuvo lugar en noviembre de 2023, y Midnight Blizzard empleó un ataque de pulverización de contraseñas para infiltrarse con éxito en una cuenta de inquilino de prueba heredada que no era de producción y que no tenía habilitada la autenticación multifactor (MFA). El gigante tecnológico, a finales de enero, reveló que APT29 se había dirigido a otras organizaciones aprovechando un conjunto diverso de métodos de acceso inicial que iban desde credenciales robadas hasta ataques a la cadena de suministro. Midnight Blizzard se considera parte del Servicio de Inteligencia Exterior de Rusia (SVR). Activo desde al menos 2008, el actor de amenazas es uno de los grupos de piratería más prolíficos y sofisticados, comprometiendo objetivos de alto perfil como SolarWinds. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

02 de marzo de 2024Sala de prensaSpyware / Privacidad Un juez estadounidense ordenó a NSO Group entregar su código fuente para Pegasus y otros productos a Meta como parte del litigio en curso del gigante de las redes sociales contra el proveedor de software espía israelí. La decisión, que marca una importante victoria legal para Meta, que presentó la demanda en octubre de 2019 por utilizar su infraestructura para distribuir el software espía a aproximadamente 1.400 dispositivos móviles entre abril y mayo. Entre ellos también se encontraban dos docenas de activistas y periodistas indios. Estos ataques aprovecharon una falla de día cero en la aplicación de mensajería instantánea (CVE-2019-3568, puntuación CVSS: 9.8), un error crítico de desbordamiento del búfer en la funcionalidad de llamadas de voz, para entregar Pegasus simplemente realizando una llamada, incluso en escenarios donde las llamadas quedaron sin respuesta. Además, la cadena de ataque incluyó pasos para borrar la información de las llamadas entrantes de los registros en un intento de eludir la detección. Los documentos judiciales publicados a finales del mes pasado muestran que a NSO Group se le pidió «producir información sobre la funcionalidad completa del software espía relevante», específicamente durante un período de un año antes del presunto ataque a un año después del presunto ataque (es decir, desde abril 29 de mayo de 2018 al 10 de mayo de 2020). Dicho esto, la empresa no tiene que «proporcionar información específica sobre la arquitectura del servidor en este momento» porque WhatsApp «podría obtener la misma información de la funcionalidad completa del presunto software espía». Quizás lo más significativo es que se ha librado de compartir las identidades de su clientela. «Si bien la decisión del tribunal es un avance positivo, es decepcionante que a NSO Group se le permita seguir manteniendo en secreto la identidad de sus clientes, que son responsables de estos ataques ilegales», dijo Donncha Ó Cearbhaill, jefe del Laboratorio de Seguridad de Amnistía Internacional. NSO Group fue sancionado por Estados Unidos en 2021 por desarrollar y suministrar armas cibernéticas a gobiernos extranjeros que «utilizaron estas herramientas para atacar maliciosamente a funcionarios gubernamentales, periodistas, empresarios, activistas, académicos y trabajadores de embajadas». Meta, sin embargo, se enfrenta a un creciente escrutinio por parte de grupos de consumidores y de privacidad en la Unión Europea por su modelo de suscripción de «pagar o aceptar» (también conocido como pago o consentimiento), que según ellos es una elección de Hobson entre pagar una «tarifa de privacidad» y consentir a ser rastreado por la empresa. «Esto impone un modelo de negocio en el que la privacidad se convierte en un lujo en lugar de un derecho fundamental, reforzando directamente la exclusión discriminatoria existente del acceso al ámbito digital y el control de los datos personales», dijeron, y agregaron que la práctica socavaría las regulaciones GDPR. El desarrollo se produce cuando Recorded Future reveló una nueva infraestructura de entrega de varios niveles asociada con Predator, un software espía móvil mercenario administrado por Intellexa Alliance. Es muy probable que la red de infraestructura esté asociada con clientes de Predator, incluso en países como Angola, Armenia, Botswana, Egipto, Indonesia, Kazajstán, Mongolia, Omán, Filipinas, Arabia Saudita y Trinidad y Tobago. Vale la pena señalar que hasta ahora no se ha identificado ningún cliente de Predator en Botswana y Filipinas. «Aunque los operadores de Predator responden a los informes públicos alterando ciertos aspectos de su infraestructura, parecen persistir con alteraciones mínimas en sus modos de operación; estas incluyen temas consistentes de suplantación de identidad y se centran en tipos de organizaciones, como medios de comunicación, mientras se adhieren a las normas establecidas. instalaciones de infraestructura», dijo la compañía. Sekoia, en su propio informe sobre el ecosistema de software espía Predator, dijo que encontró tres dominios relacionados con clientes en Botswana, Mongolia y Sudán, afirmando que detectó un «aumento significativo en el número de dominios maliciosos genéricos que no dan indicaciones sobre las entidades objetivo». y posibles clientes.» ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

19 de febrero de 2024Sala de prensaCiberespionaje/Vulnerabilidad Los actores de amenazas que operan con intereses alineados con Bielorrusia y Rusia han sido vinculados a una nueva campaña de ciberespionaje que probablemente aprovechó las vulnerabilidades de secuencias de comandos entre sitios (XSS) en los servidores de correo web de Roundcube para apuntar a más de 80 organizaciones. Estas entidades están ubicadas principalmente en Georgia, Polonia y Ucrania, según Recorded Future, que atribuyó la intrusión a un actor de amenazas conocido como Winter Vivern, que también se conoce como TA473 y UAC0114. La firma de ciberseguridad está rastreando al equipo de piratería bajo el nombre de Threat Activity Group 70 (TAG-70). ESET destacó previamente la explotación de fallas de seguridad en Roundcube y el software por parte de Winter Vivern en octubre de 2023, uniéndose a otros grupos de actores de amenazas vinculados a Rusia, como APT28, APT29 y Sandworm, que se sabe que atacan el software de correo electrónico. El adversario, que ha estado activo desde al menos diciembre de 2020, también ha sido vinculado al abuso de una vulnerabilidad ahora parcheada en el software de correo electrónico Zimbra Collaboration el año pasado para infiltrarse en organizaciones en Moldavia y Túnez en julio de 2023. La campaña descubierta por Recorded Future tuvo lugar desde principios de octubre de 2023 y continuó hasta mediados de mes con el objetivo de recopilar inteligencia sobre las actividades políticas y militares europeas. Los ataques se superponen con actividad adicional de TAG-70 contra servidores de correo del gobierno de Uzbekistán que se detectaron en marzo de 2023. «TAG70 ha demostrado un alto nivel de sofisticación en sus métodos de ataque», dijo la compañía. «Los actores de amenazas aprovecharon técnicas de ingeniería social y explotaron vulnerabilidades de secuencias de comandos entre sitios en los servidores de correo web de Roundcube para obtener acceso no autorizado a servidores de correo específicos, evitando las defensas de las organizaciones gubernamentales y militares». Las cadenas de ataque implican la explotación de fallas de Roundcube para entregar cargas útiles de JavaScript diseñadas para filtrar las credenciales del usuario a un servidor de comando y control (C2). Recorded Future dijo que también encontró evidencia de que el TAG-70 apuntaba a las embajadas iraníes en Rusia y los Países Bajos, así como a la embajada de Georgia en Suecia. «El ataque a las embajadas iraníes en Rusia y Holanda sugiere un interés geopolítico más amplio en evaluar las actividades diplomáticas de Irán, especialmente en lo que respecta a su apoyo a Rusia en Ucrania», dijo. «Del mismo modo, el espionaje contra entidades gubernamentales georgianas refleja intereses en monitorear las aspiraciones de Georgia de ingresar a la Unión Europea (UE) y la OTAN». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

03 de febrero de 2024Sala de prensaVulnerabilidad / Redes sociales La red social descentralizada Mastodon ha revelado una falla de seguridad crítica que permite a actores maliciosos hacerse pasar por cualquier cuenta y apoderarse de ella. «Debido a una validación de origen insuficiente en todo Mastodon, los atacantes pueden hacerse pasar por cualquier cuenta remota y apoderarse de ella», dijeron los responsables en un escueto aviso. La vulnerabilidad, rastreada como CVE-2024-23832, tiene una calificación de gravedad de 9,4 sobre un máximo de 10. Al investigador de seguridad arcicanis se le atribuye haberla descubierto e informado. Se ha descrito como un «error de validación de origen» (CWE-346), que normalmente puede permitir a un atacante «acceder a cualquier funcionalidad a la que el origen pueda acceder inadvertidamente». Todas las versiones de Mastodon anteriores a la 3.5.17 son vulnerables, al igual que las versiones 4.0.x anteriores a la 4.0.13, las versiones 4.1.x anteriores a la 4.1.13 y las versiones 4.2.x anteriores a la 4.2.5. Mastodon dijo que retendrá detalles técnicos adicionales sobre la falla hasta el 15 de febrero de 2024, para darles a los administradores tiempo suficiente para actualizar las instancias del servidor y evitar la probabilidad de explotación. «Cualquier cantidad de detalles haría que fuera muy fácil encontrar un exploit», decía. La naturaleza federada de la plataforma significa que se ejecuta en servidores separados (también conocidos como instancias), alojados y operados de forma independiente por los respectivos administradores que crean sus propias reglas y regulaciones que se aplican localmente. Esto también significa que no solo cada instancia tiene un código de conducta, términos de servicio, política de privacidad y pautas de moderación de contenido únicos, sino que también requiere que cada administrador aplique actualizaciones de seguridad de manera oportuna para proteger las instancias contra riesgos potenciales. La divulgación llega casi siete meses después de que Mastodon abordara otras dos fallas críticas (CVE-2023-36460 y 2023-36459) que los adversarios podrían haber utilizado como arma para causar denegación de servicio (DoS) o lograr la ejecución remota de código. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

03 de febrero de 2024Sala de prensaAgencia de Inteligencia / Seguridad Cibernética La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE.UU. anunció sanciones contra seis funcionarios asociados con la agencia de inteligencia iraní por atacar entidades de infraestructura crítica en EE.UU. y otros países. Los funcionarios incluyen a Hamid Reza Lashgarian, Mahdi Lashgarian, Hamid Homayunfal, Milad Mansuri, Mohammad Bagher Shirinkar y Reza Mohammad Amin Saberian, que forman parte del Comando Ciberelectrónico del Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC-CEC). Reza Lashgarian es también el jefe del IRGC-CEC y comandante de la Fuerza IRGC-Qods. Se alega que estuvo involucrado en varias operaciones cibernéticas y de inteligencia del IRGC. El Departamento del Tesoro dijo que responsabiliza a estos individuos por llevar a cabo «operaciones cibernéticas en las que piratearon y publicaron imágenes en las pantallas de controladores lógicos programables fabricados por Unitronics, una empresa israelí». A finales de noviembre de 2023, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) reveló que la Autoridad Municipal de Agua de Aliquippa, en el oeste de Pensilvania, fue atacada por actores de amenazas iraníes al explotar los PLC de Unitronics. El ataque se atribuyó a un personaje hacktivista iraní denominado Cyber ​​Av3ngers, que pasó a primer plano tras el conflicto entre Israel y Hamas, organizando ataques destructivos contra entidades en Israel y Estados Unidos. El grupo, que ha estado activo desde 2020, también está Se dice que está detrás de varios otros ataques cibernéticos, incluido uno dirigido al Boston Children’s Hospital en 2021 y otros en Europa e Israel. «Los dispositivos de control industrial, como los controladores lógicos programables, utilizados en sistemas de agua y otras infraestructuras críticas, son objetivos sensibles», señaló el Departamento del Tesoro. «Aunque esta operación en particular no interrumpió ningún servicio crítico, el acceso no autorizado a sistemas de infraestructura críticos puede permitir acciones que dañen al público y causen consecuencias humanitarias devastadoras». El acontecimiento se produce cuando otro «grupo de operación psicológica» proiraní conocido como Homeland Justice dijo que atacó el Instituto de Estadísticas de Albania (INSTAT) y afirmó haber robado terabytes de datos. Homeland Justice tiene un historial de atacar a Albania desde mediados de julio de 2022, y recientemente se observó que el actor de amenazas entregaba un malware de limpieza con el nombre en código No-Justice. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

03 de febrero de 2024Sala de redacciónCiberataque / Seguridad de software El fabricante de software de escritorio remoto AnyDesk reveló el viernes que sufrió un ciberataque que comprometió sus sistemas de producción. La empresa alemana dijo que el incidente, que descubrió tras una auditoría de seguridad, no es un ataque de ransomware y que ha notificado a las autoridades pertinentes. «Hemos revocado todos los certificados relacionados con la seguridad y los sistemas han sido reparados o reemplazados cuando fue necesario», dijo la compañía en un comunicado. «En breve revocaremos el certificado de firma de código anterior para nuestros binarios y ya hemos comenzado a reemplazarlo por uno nuevo». Por precaución, AnyDesk también ha revocado todas las contraseñas de su portal web, my.anydesk.[.]com, e insta a los usuarios a cambiar sus contraseñas si las mismas contraseñas se han reutilizado en otros servicios en línea. También recomienda que los usuarios descarguen la última versión del software, que viene con un nuevo certificado de firma de código. AnyDesk no reveló cuándo y cómo se violaron sus sistemas de producción. Actualmente no se sabe si se robó alguna información después del ataque. Sin embargo, enfatizó que no hay evidencia de que ningún sistema de usuario final haya sido afectado. A principios de esta semana, Günter Born de BornCity reveló que AnyDesk había estado en mantenimiento el 29 de enero. El problema se solucionó el 1 de febrero. Anteriormente, el 24 de enero, la compañía también alertó a los usuarios sobre «tiempos de espera intermitentes» y «degradación del servicio» con su Portal del Cliente. AnyDesk cuenta con más de 170.000 clientes, incluidos Amedes, AutoForm Engineering, LG Electronics, Samsung Electronics, Spidercam y Thales. La divulgación se produce un día después de que Cloudflare dijera que fue violado por un presunto atacante de un estado-nación que utilizó credenciales robadas para obtener acceso no autorizado a su servidor Atlassian y, en última instancia, acceder a cierta documentación y una cantidad limitada de código fuente. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

2 de febrero de 2024Sala de prensaCibercrimen/Malware Una operación colaborativa dirigida por INTERPOL contra ataques de phishing, malware bancario y ransomware ha permitido identificar 1.300 direcciones IP y URL sospechosas. El esfuerzo de aplicación de la ley, cuyo nombre en código es Synergia, se llevó a cabo entre septiembre y noviembre de 2023 en un intento de frenar el «crecimiento, escalada y profesionalización del ciberdelito transnacional». En el ejercicio, en el que participaron 60 organismos encargados de hacer cumplir la ley de 55 países miembros, se allanó el camino para la detección de más de 1.300 servidores maliciosos, el 70% de los cuales ya han sido desmantelados en Europa. Las autoridades de Hong Kong y Singapur desactivaron 153 y 86 servidores, respectivamente. Los servidores, así como los dispositivos electrónicos, fueron confiscados tras más de 30 registros domiciliarios. Hasta la fecha se han identificado setenta sospechosos y se ha arrestado a 31 de Europa, Sudán del Sur y Zimbabwe. Group-IB, con sede en Singapur, que también contribuyó a la operación, dijo que identificó «más de 500 direcciones IP que alojan recursos de phishing y más de 1.900 direcciones IP asociadas con ransomware, troyanos y operaciones de malware bancario». La infraestructura fraudulenta estaba alojada en Australia, Canadá, Hong Kong y Singapur, entre otros, y los recursos se distribuían entre más de 200 proveedores de alojamiento web en todo el mundo. «Los resultados de esta operación, logrados gracias a los esfuerzos colectivos de múltiples países y socios, muestran nuestro compromiso inquebrantable con la salvaguardia del espacio digital», afirmó Bernardo Pillot, subdirector de la Dirección de Delitos Cibernéticos de INTERPOL. «Al desmantelar la infraestructura detrás de los ataques de phishing, malware bancario y ransomware, estamos un paso más cerca de proteger nuestros ecosistemas digitales y brindar una experiencia en línea más segura para todos». El acontecimiento llega más de un mes después de que otra operación policial internacional de seis meses de duración denominada HAECHI-IV haya dado lugar al arresto de casi 3.500 personas e incautaciones por valor de 300 millones de dólares en 34 países. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

02 de febrero de 2024The Hacker NewsInteligencia sobre amenazas / Seguridad en la nube Cloudzy, un destacado proveedor de infraestructura en la nube, anuncia con orgullo una mejora significativa en su panorama de ciberseguridad. Este avance se logró gracias a una consulta reciente con Recorded Future, líder en el suministro de inteligencia sobre amenazas y análisis de ciberseguridad en tiempo real. Esta iniciativa, junto con una revisión de las estrategias de ciberseguridad de Cloudzy, representa un gran paso adelante en nuestro compromiso con la seguridad digital y la integridad de la infraestructura. Mejoras clave en ciberseguridad Inteligencia integral sobre amenazas de Recorded Future Recorded Future proporciona informes de seguridad críticos, destacando posibles violaciones de seguridad y actividades maliciosas. Esta inteligencia sofisticada nos permite actuar con prontitud contra amenazas como ransomware, APT (amenazas persistentes avanzadas), servidores C2 (comando y control), malware y más. Tras una evaluación exhaustiva de estos informes y la confirmación de que las cuentas implicadas efectivamente están realizando actividades ilegales. y no son víctimas, Cloudzy prohíbe sistemáticamente estas cuentas. Además, nuestro sistema está diseñado para reconocer y suspender cualquier intento de estas entidades de acceder a nuestra plataforma utilizando identidades falsas, para garantizar mejor un entorno seguro y confiable. Operaciones refinadas de CloudzPatrol, nuestro sistema avanzado de detección de amenazas CloudzPatrol, un componente clave del marco de seguridad de Cloudzy, se ha actualizado significativamente para mejorar sus capacidades de detección y respuesta a amenazas. Este sistema está diseñado intrincadamente para identificar patrones sospechosos dentro de nuestra infraestructura. Fundamentalmente, la mejora de CloudzPatrol se basa y enriquece con informes de seguridad integrales recibidos de Recorded Future y otros proveedores de ciberseguridad. Al analizar estos informes, CloudzPatrol perfecciona continuamente sus procesos, lo que nos permite detectar y mitigar de forma proactiva los riesgos que plantean las cuentas y máquinas maliciosas. Compromiso con la aplicación ética Al hacer cumplir nuestras medidas de seguridad, actualizamos constantemente nuestra política de uso aceptable para garantizar que nuestras acciones se alineen con los estándares legales y prioricen la seguridad del usuario. Nuestro enfoque es meticulosamente ético y protege la privacidad individual manteniendo estrictos estándares de seguridad. Mantener una plataforma segura y resistente Estos avances marcan la dedicación inquebrantable de Cloudzy para mantener una plataforma segura y resistente para nuestros clientes. Hannan Nozari, director ejecutivo de Cloudzy, enfatiza: «Nuestra implementación de Recorded Future cambia las reglas del juego en nuestra incesante búsqueda de la excelencia en ciberseguridad. Ahora estamos más equipados que nunca para defendernos contra las ciberamenazas y mantener la integridad de nuestros servicios. Fomentamos la colaboración y asociación con organizaciones e individuos que comparten preocupaciones similares sobre ciberseguridad, ya que la ciberseguridad requiere vigilancia y esfuerzo colectivos». Como proveedor de IaaS ágil y centrado en el usuario, Cloudzy ocupa una posición única en el mercado de infraestructura en la nube. Nuestros recientes avances en ciberseguridad, ejemplificados por CloudzPatrol y nuestras colaboraciones estratégicas, refuerzan nuestro compromiso de ofrecer una experiencia en la nube segura, innovadora y personalizada, especialmente en un dominio dominado por corporaciones más grandes. Para obtener más información, comuníquese con: pr@cloudzy.com Acerca de Cloudzy Cloudzy se destaca como un proveedor de infraestructura de nube dinámico y centrado en el usuario, que ofrece soluciones seguras e innovadoras a escala global. Nuestro enfoque está profundamente arraigado en un compromiso con la seguridad del usuario y la integridad de los datos. Como actor receptivo y adaptable de la industria, perfeccionamos continuamente nuestras estrategias de ciberseguridad. Esto incluye forjar colaboraciones estratégicas con expertos en ciberseguridad como Recorded Future, garantizando que nuestros usuarios se beneficien de los más altos estándares de protección digital. En Cloudzy, no nos centramos sólo en la tecnología; Nuestro objetivo es crear una experiencia en la nube más segura y personal para cada uno de nuestros usuarios. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

Los actores patrocinados por el estado ruso han organizado ataques de retransmisión de hash de NT LAN Manager (NTLM) v2 a través de varios métodos desde abril de 2022 hasta noviembre de 2023, dirigidos a objetivos de alto valor en todo el mundo. Los ataques, atribuidos a un grupo de hackers «agresivo» llamado APT28, han puesto sus ojos en organizaciones que se ocupan de asuntos exteriores, energía, defensa y transporte, así como en aquellas involucradas con el trabajo, el bienestar social, las finanzas, la paternidad y la ciudad local. concejos. La firma de ciberseguridad Trend Micro evaluó estas intrusiones como un «método rentable de automatizar los intentos de ingresar por la fuerza bruta en las redes» de sus objetivos, señalando que el adversario puede haber comprometido miles de cuentas de correo electrónico a lo largo del tiempo. APT28 también es rastreado por la comunidad de ciberseguridad en general bajo los nombres Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy y TA422. El grupo, que se cree que está activo desde al menos 2009, es operado por el servicio de inteligencia militar GRU de Rusia y tiene un historial de orquestar phishing dirigido que contiene archivos adjuntos maliciosos o compromisos web estratégicos para activar las cadenas de infección. En abril de 2023, APT28 estuvo implicado en ataques que aprovecharon fallas ahora reparadas en equipos de red de Cisco para realizar reconocimientos e implementar malware contra objetivos seleccionados. El actor del estado-nación, en diciembre, fue el centro de atención por explotar una falla de escalada de privilegios en Microsoft Outlook (CVE-2023-23397, puntuación CVSS: 9,8) y WinRAR (CVE-2023-38831, puntuación CVSS: 7,8) para acceder el hash Net-NTLMv2 de un usuario y utilizarlo para organizar un ataque de retransmisión NTLM contra otro servicio para autenticarse como usuario. Se dice que un exploit para CVE-2023-23397 se utilizó para atacar a entidades ucranianas ya en abril de 2022, según un aviso de marzo de 2023 del CERT-EU. También se ha observado que aprovecha señuelos relacionados con la actual guerra entre Israel y Hamas para facilitar la entrega de una puerta trasera personalizada llamada HeadLace, junto con entidades gubernamentales ucranianas y organizaciones polacas que atacan con mensajes de phishing diseñados para desplegar puertas traseras y ladrones de información como OCEANMAP, MASEPIE y GANCHO DE ACERO. Uno de los aspectos importantes de los ataques del actor de amenazas es el intento continuo de mejorar su manual operativo, afinando y modificando sus enfoques para evadir la detección. Esto incluye la adición de capas de anonimización como servicios VPN, Tor, direcciones IP del centro de datos y enrutadores EdgeOS comprometidos para realizar actividades de escaneo y sondeo. Otra táctica consiste en enviar mensajes de phishing desde cuentas de correo electrónico comprometidas a través de Tor o VPN. «Pawn Storm también ha estado utilizando enrutadores EdgeOS para enviar correos electrónicos de phishing, realizar devoluciones de llamadas de exploits CVE-2023-23397 en Outlook y robo de credenciales de proxy en sitios web de phishing», dijeron los investigadores de seguridad Feike Hacquebord y Fernando Merces. «Parte de las actividades posteriores a la explotación del grupo implican la modificación de los permisos de carpeta dentro del buzón de la víctima, lo que lleva a una mayor persistencia», dijeron los investigadores. «Al utilizar las cuentas de correo electrónico de la víctima, es posible realizar movimientos laterales mediante el envío de mensajes de correo electrónico maliciosos adicionales desde dentro de la organización de la víctima». Actualmente no se sabe si los propios actores de la amenaza violaron estos enrutadores o si están utilizando enrutadores que ya fueron comprometidos por un tercero. Dicho esto, se estima que no menos de 100 enrutadores EdgeOS han sido infectados. Además, las recientes campañas de recolección de credenciales contra gobiernos europeos han utilizado páginas de inicio de sesión falsas que imitan a Microsoft Outlook y que están alojadas en un webhook.[.]URL del sitio, un patrón previamente atribuido al grupo. Sin embargo, una campaña de phishing de octubre de 2022 señaló a embajadas y otras entidades de alto perfil para entregar un ladrón de información «simple» a través de correos electrónicos que capturaba archivos que coincidían con extensiones específicas y los exfiltraba a un servicio gratuito para compartir archivos llamado Keep.sh. «El volumen de las campañas repetitivas, a menudo crudas y agresivas, ahoga el silencio, la sutileza y la complejidad de la intrusión inicial, así como las acciones posteriores a la explotación que podrían ocurrir una vez que Pawn Storm consiga un punto de apoyo inicial en las organizaciones víctimas». dijeron los investigadores. El desarrollo se produce cuando Recorded Future News reveló una campaña de piratería en curso llevada a cabo por el actor de amenazas ruso COLDRIVER (también conocido como Calisto, Iron Frontier o Star Blizzard) que se hace pasar por investigadores y académicos para redirigir a posibles víctimas a páginas de recolección de credenciales. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

02 de febrero de 2024Sala de prensaCryptojacking / Malware El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) advirtió que más de 2000 computadoras en el país han sido infectadas por una cepa de malware llamada DirtyMoe. La agencia atribuyó la campaña a un actor de amenazas al que llama UAC-0027. DirtyMoe, activo desde al menos 2016, es capaz de llevar a cabo cryptojacking y ataques distribuidos de denegación de servicio (DDoS). En marzo de 2022, la empresa de ciberseguridad Avast reveló la capacidad del malware para propagarse en forma de gusano aprovechando fallas de seguridad conocidas. Se sabe que la botnet DDoS se distribuye mediante otro malware denominado Purple Fox o mediante paquetes de instalación MSI falsos para software popular como Telegram. Purple Fox también está equipado con un rootkit que permite a los actores de amenazas ocultar el malware en la máquina y dificultar su detección y eliminación. Actualmente se desconoce el vector de acceso inicial exacto utilizado en la campaña dirigida a Ucrania. CERT-UA recomienda que las organizaciones mantengan sus sistemas actualizados, apliquen la segmentación de la red y supervisen el tráfico de la red para detectar cualquier actividad anómala. La divulgación se produce cuando Securonix detalló una campaña de phishing en curso conocida como STEADY#URSA dirigida al personal militar ucraniano con el objetivo de ofrecer una puerta trasera PowerShell personalizada denominada SUBTLE-PAWS. «La cadena de explotación es relativamente simple: implica que el objetivo ejecute un archivo de acceso directo malicioso (.lnk) que carga y ejecuta un nuevo código de carga útil de puerta trasera de PowerShell (que se encuentra dentro de otro archivo contenido en el mismo archivo)», investigadores de seguridad Den Iuzvyk, Tim. Peck y Oleg Kolesnikov dijeron. Se dice que el ataque está relacionado con un actor de amenazas conocido como Shuckworm, que también se conoce como Aqua Blizzard (anteriormente Actinium), Armageddon, Gamaredon, Iron Tilden, Primitive Bear, Trident Ursa, UNC530 y Winterflounder. Activo desde al menos 2013, se considera que forma parte del Servicio Federal de Seguridad (FSB) de Rusia. SUBTLE-PAWS, además de configurar la persistencia en el host, utiliza la plataforma de blogs de Telegram llamada Telegraph para recuperar la información de comando y control (C2), una técnica previamente identificada como asociada con el adversario desde principios de 2023, y que puede propagarse a través de unidades extraíbles conectadas. La capacidad de Gamaredon para propagarse a través de unidades USB también fue documentada por Check Point en noviembre de 2023, que nombró al gusano USB basado en PowerShell LitterDrifter. «La puerta trasera SUBTLE-PAWS utiliza técnicas avanzadas para ejecutar cargas maliciosas de forma dinámica», dijeron los investigadores. «Almacenan y recuperan código PowerShell ejecutable del Registro de Windows, lo que puede ayudar a evadir los métodos tradicionales de detección basados ​​en archivos. Este enfoque también ayuda a mantener la persistencia en el sistema infectado, ya que el malware puede iniciarse nuevamente después de reinicios u otras interrupciones». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link