Etiqueta: noticias de hackers Página 8 de 44

12 de septiembre de 2024Ravie LakshmananMalware / Seguridad de IoT Casi 1,3 millones de TV boxes basados ​​en Android que ejecutan versiones obsoletas del sistema operativo y que pertenecen a usuarios de 197 países han sido infectados por un nuevo malware denominado Vo1d (también conocido como Void). «Es una puerta trasera que coloca sus componentes en el área de almacenamiento del sistema y, cuando lo ordenan los atacantes, es capaz de descargar e instalar en secreto software de terceros», dijo el proveedor de antivirus ruso Doctor Web en un informe publicado hoy. La mayoría de las infecciones se han detectado en Brasil, Marruecos, Pakistán, Arabia Saudita, Argentina, Rusia, Túnez, Ecuador, Malasia, Argelia e Indonesia. Actualmente no se sabe cuál es la fuente de la infección, aunque se sospecha que puede haber involucrado una instancia de compromiso anterior que permite obtener privilegios de root o el uso de versiones de firmware no oficiales con acceso root incorporado. Los siguientes modelos de TV han sido el objetivo de la campaña: KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K) R4 (Android 7.1.2; R4 Build/NHG47K) TV BOX (Android 12.1; TV BOX Build/NHG47K) El ataque implica la sustitución del archivo demonio «/system/bin/debuggerd» (con el archivo original movido a un archivo de respaldo llamado «debuggerd_real»), así como la introducción de dos nuevos archivos: «/system/xbin/vo1d» y «/system/xbin/wd» – que contienen el código malicioso y operan simultáneamente. «Antes de Android 8.0, los fallos eran manejados por los demonios debuggerd y debuggerd64», señala Google en su documentación de Android. «En Android 8.0 y versiones posteriores, crash_dump32 y crash_dump64 se generan según sea necesario». Dos archivos diferentes enviados como parte del sistema operativo Android – install-recovery.sh y daemonsu – han sido modificados como parte de la campaña para activar la ejecución del malware iniciando el módulo «wd». «Los autores del troyano probablemente intentaron disfrazar uno de sus componentes como el programa del sistema ‘/system/bin/vold’, habiéndolo llamado por el nombre de aspecto similar ‘vo1d’ (sustituyendo la letra minúscula ‘l’ por el número ‘1’)», dijo Doctor Web. La carga útil «vo1d», a su vez, inicia «wd» y se asegura de que se ejecute de forma persistente, al mismo tiempo que descarga y ejecuta archivos ejecutables cuando se lo indica un servidor de comando y control (C2). Además, controla los directorios especificados e instala los archivos APK que encuentra en ellos. «Desafortunadamente, no es raro que los fabricantes de dispositivos económicos utilicen versiones anteriores del sistema operativo y las presenten como más actualizadas para hacerlas más atractivas», afirmó la empresa. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

12 de septiembre de 2024The Hacker NewsInteligencia sobre amenazas / Ciberdelito Cato CTRL (Cyber ​​Threats Research Lab) ha publicado su Informe sobre amenazas SASE de Cato CTRL del segundo trimestre de 2024. El informe destaca hallazgos críticos basados ​​en el análisis de la asombrosa cantidad de 1,38 billones de flujos de red de más de 2500 clientes globales de Cato, entre abril y junio de 2024. Información clave del Informe sobre amenazas SASE de Cato CTRL del segundo trimestre de 2024 El informe está repleto de información única que se basa en un análisis exhaustivo de los datos de los flujos de red. Las tres principales información para las empresas son las siguientes.1) IntelBroker: un actor de amenazas persistente en la clandestinidad cibernética Durante una investigación en profundidad sobre las comunidades de piratas informáticos y la web oscura, Cato CTRL identificó a un actor de amenazas notorio conocido como IntelBroker. IntelBroker es una figura destacada y moderadora dentro de la comunidad de hackers BreachForums y ha participado activamente en la venta de datos y código fuente de importantes organizaciones. Estas incluyen AMD, Apple, Facebook, KrypC, Microsoft, Space-Eyes, T-Mobile y el Comando de Aviación y Misiles del Ejército de EE. UU.2) El 66% de la suplantación de marca se centra en Amazon La ciberocupación es la suplantación y explotación del nombre de dominio de una marca para sacar provecho de su marca registrada. El informe revela que Amazon fue la marca suplantada con mayor frecuencia, con un 66% de dichos dominios dirigidos al gigante minorista. Le siguió Google, aunque en un distante segundo lugar, con un 7%.3) Log4j sigue siendo explotado A pesar de haber sido descubierta en 2021, la vulnerabilidad Log4j sigue siendo una herramienta favorita entre los actores de amenazas. Del primer al segundo trimestre de 2024, Cato CTRL registró un aumento del 61% en los intentos de explotación de Log4j en el tráfico entrante y un aumento del 79% en el tráfico WAN. De manera similar, la vulnerabilidad de Oracle WebLogic, identificada por primera vez en 2020, experimentó un aumento del 114 % en los intentos de explotación dentro del tráfico con destino a la WAN durante el mismo período. Recomendaciones de seguridad Con base en los hallazgos del informe, Cato CTRL recomienda a las organizaciones que adopten las siguientes prácticas recomendadas: Monitorear regularmente los foros y mercados de la web oscura para detectar cualquier mención de la venta de datos o credenciales de su empresa. Emplear herramientas y técnicas para detectar y mitigar el phishing y otros ataques que aprovechan la ciberocupación. Establecer un cronograma de parches proactivo centrado en vulnerabilidades críticas, en particular aquellas que son blanco activo de actores de amenazas, como Log4j. Crear un plan paso a paso para responder a una violación de datos. Adoptar una mentalidad de «asumir una violación» con métodos como ZTNA, XDR, pruebas de penetración y más. Desarrollar una estrategia de gobernanza de IA. Lea recomendaciones adicionales con más detalles en el informe. ¿Le resultó interesante este artículo? Este artículo es una pieza aportada por uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

12 de septiembre de 2024Ravie LakshmananSeguridad web / Gestión de contenido WordPress.org ha anunciado una nueva medida de seguridad de cuenta que requerirá que las cuentas con capacidades para actualizar complementos y temas activen la autenticación de dos factores (2FA) de forma obligatoria. Se espera que la aplicación entre en vigor a partir del 1 de octubre de 2024. «Las cuentas con acceso de confirmación pueden enviar actualizaciones y cambios a los complementos y temas utilizados por millones de sitios de WordPress en todo el mundo», dijeron los encargados del mantenimiento de la versión de código abierto y autoalojada del sistema de gestión de contenido (CMS). «Asegurar estas cuentas es esencial para evitar el acceso no autorizado y mantener la seguridad y la confianza de la comunidad de WordPress.org». Además de exigir la 2FA obligatoria, WordPress.org dijo que está introduciendo lo que se llama contraseñas SVN, que se refiere a una contraseña dedicada para confirmar cambios. Esto, dijo, es un esfuerzo por introducir una nueva capa de seguridad al separar el acceso de confirmación de código de los usuarios de sus credenciales de cuenta de WordPress.org. «Esta contraseña funciona como una contraseña de aplicación o de cuenta de usuario adicional», dijo el equipo. «Protege su contraseña principal de la exposición y le permite revocar fácilmente el acceso a SVN sin tener que cambiar sus credenciales de WordPress.org». WordPress.org también señaló que las limitaciones técnicas han impedido que la 2FA se aplique a los repositorios de código existentes, como resultado de lo cual ha optado por una «combinación de autenticación de dos factores a nivel de cuenta, contraseñas SVN de alta entropía y otras características de seguridad en el momento de la implementación (como las confirmaciones de lanzamiento)». Las medidas se consideran una forma de contrarrestar los escenarios en los que un actor malicioso podría tomar el control de la cuenta de un editor, introduciendo así código malicioso en complementos y temas legítimos, lo que resulta en ataques a gran escala a la cadena de suministro. La revelación se produce cuando Sucuri advirtió sobre las campañas ClearFake en curso dirigidas a los sitios de WordPress que tienen como objetivo distribuir un ladrón de información llamado RedLine engañando a los visitantes del sitio para que ejecuten manualmente el código PowerShell para solucionar un problema con la representación de la página web. También se ha observado que los actores de amenazas aprovechan los sitios de comercio electrónico infectados de PrestaShop para implementar un escáner de tarjetas de crédito para extraer la información financiera ingresada en las páginas de pago. «El software obsoleto es un objetivo principal para los atacantes que explotan las vulnerabilidades en complementos y temas antiguos», dijo el investigador de seguridad Ben Martin. «Las contraseñas de administrador débiles son una puerta de entrada para los atacantes». Se recomienda a los usuarios mantener sus complementos y temas actualizados, implementar un firewall de aplicaciones web (WAF), revisar periódicamente las cuentas de administrador y monitorear los cambios no autorizados en los archivos del sitio web. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Un «actor de habla china simplificada» ha sido vinculado a una nueva campaña que ha tenido como objetivo varios países de Asia y Europa con el objetivo final de manipular el ranking de optimización de motores de búsqueda (SEO). El grupo de SEO de sombrero negro ha sido bautizado en código como DragonRank por Cisco Talos, con una huella de victimología repartida por Tailandia, India, Corea, Bélgica, Países Bajos y China. «DragonRank explota los servicios de aplicaciones web de los objetivos para implementar un shell web y lo utiliza para recopilar información del sistema y lanzar malware como PlugX y BadIIS, ejecutando varias utilidades de recolección de credenciales», dijo el investigador de seguridad Joey Chen. Los ataques han provocado la vulneración de 35 servidores de Internet Information Services (IIS) con el objetivo final de implementar el malware BadIIS, que fue documentado por primera vez por ESET en agosto de 2021. Está diseñado específicamente para facilitar el software proxy y el fraude SEO al convertir el servidor IIS comprometido en un punto de retransmisión para comunicaciones maliciosas entre sus clientes (es decir, otros actores de amenazas) y sus víctimas. Además, puede modificar el contenido que se ofrece a los motores de búsqueda para manipular los algoritmos de los motores de búsqueda y mejorar la clasificación de otros sitios web de interés para los atacantes. «Uno de los aspectos más sorprendentes de la investigación es lo versátil que es el malware de IIS y la [detection of] «Esquema criminal de fraude SEO, donde el malware se utiliza indebidamente para manipular los algoritmos de los motores de búsqueda y ayudar a mejorar la reputación de sitios web de terceros», dijo la investigadora de seguridad Zuzana Hromcova a The Hacker News en ese momento. El último conjunto de ataques destacados por Talos abarca un amplio espectro de verticales de la industria, incluyendo joyería, medios de comunicación, servicios de investigación, atención médica, producción de video y televisión, fabricación, transporte, organizaciones religiosas y espirituales, servicios de TI, asuntos internacionales, agricultura, deportes y feng shui. Las cadenas de ataque comienzan aprovechando fallas de seguridad conocidas en aplicaciones web como phpMyAdmin y WordPress para instalar el shell web de código abierto ASPXspy, que luego actúa como un conducto para introducir herramientas complementarias en el entorno de los objetivos. El objetivo principal de la campaña es comprometer los servidores IIS que alojan sitios web corporativos, abusando de ellos para implantar el malware BadIIS y reutilizarlos efectivamente como una plataforma de lanzamiento para operaciones de estafa mediante el uso de palabras clave relacionadas con la pornografía y el sexo. Otro aspecto importante del malware es su capacidad de hacerse pasar por el rastreador del motor de búsqueda de Google en su cadena User-Agent cuando retransmite la conexión al servidor de comando y control (C2), lo que le permite eludir algunas medidas de seguridad del sitio web. «El actor de la amenaza se involucra en la manipulación de SEO alterando o explotando los algoritmos del motor de búsqueda para mejorar la clasificación de un sitio web en los resultados de búsqueda», explicó Chen. «Llevan a cabo estos ataques para dirigir el tráfico a sitios maliciosos, aumentar la visibilidad de contenido fraudulento o perturbar a los competidores inflando o desinflando artificialmente las clasificaciones». Una forma importante en la que DragonRank se distingue de otros grupos de ciberdelincuencia de sombrero negro SEO es en la forma en que intenta violar servidores adicionales dentro de la red del objetivo y mantener el control sobre ellos utilizando PlugX, una puerta trasera ampliamente compartida por actores de amenazas chinos, y varios programas de recolección de credenciales como Mimikatz, PrintNotifyPotato, BadPotato y GodPotato. Aunque el malware PlugX utilizado en los ataques se basa en técnicas de carga lateral de DLL, la DLL de carga responsable de lanzar la carga útil cifrada utiliza el mecanismo de Manejo de excepciones estructurado de Windows (SEH) en un intento de garantizar que el archivo legítimo (es decir, el binario susceptible a la carga lateral de DLL) pueda cargar el PlugX sin activar ninguna alarma. La evidencia descubierta por Talos apunta a que el actor de la amenaza mantiene una presencia en Telegram bajo el nombre de usuario «tttseo» y la aplicación de mensajería instantánea QQ para facilitar las transacciones comerciales ilegales con clientes que pagan. «Estos adversarios también ofrecen un servicio al cliente aparentemente de calidad, adaptando los planes promocionales para que se ajusten mejor a las necesidades de sus clientes», agregó Chen. «Los clientes pueden enviar las palabras clave y los sitios web que desean promocionar, y DragonRank desarrolla una estrategia adaptada a estas especificaciones. El grupo también se especializa en dirigir promociones a países e idiomas específicos, lo que garantiza un enfoque personalizado e integral para el marketing en línea». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

11 de septiembre de 2024Ravie LakshmananSeguridad de red / Piratería informática Los operadores de la misteriosa botnet Quad7 están evolucionando activamente al comprometer varias marcas de enrutadores SOHO y dispositivos VPN aprovechando una combinación de fallas de seguridad conocidas y desconocidas. Los objetivos incluyen dispositivos de TP-LINK, Zyxel, Asus, Axentra, D-Link y NETGEAR, según un nuevo informe de la empresa francesa de ciberseguridad Sekoia. «Los operadores de la botnet Quad7 parecen estar evolucionando su conjunto de herramientas, introduciendo una nueva puerta trasera y explorando nuevos protocolos, con el objetivo de mejorar el sigilo y evadir las capacidades de seguimiento de sus cajas de retransmisión operativa (ORB)», dijeron los investigadores Felix Aimé, Pierre-Antoine D. y Charles M. Quad7, también llamado 7777, fue documentado públicamente por primera vez por el investigador independiente Gi7w0rm en octubre de 2023, destacando el patrón del grupo de actividad de atrapar enrutadores TP-Link y grabadoras de video digitales (DVR) Dahua en una botnet. Se ha observado que la botnet, que recibe su nombre del hecho de que abre el puerto TCP 7777 en dispositivos comprometidos, realiza ataques de fuerza bruta contra instancias de Microsoft 3665 y Azure. «La botnet también parece infectar otros sistemas como MVPower, Zyxel NAS y GitLab, aunque a un volumen muy bajo», señaló Jacob Baines de VulnCheck a principios de enero. «La botnet no solo inicia un servicio en el puerto 7777. También pone en marcha un servidor SOCKS5 en el puerto 11228». Análisis posteriores realizados por Sekoia y Team Cymru durante los últimos meses descubrieron que la botnet no solo ha comprometido enrutadores TP-Link en Bulgaria, Rusia, EE. UU. y Ucrania, sino que desde entonces también se ha expandido para atacar enrutadores ASUS que tienen abiertos los puertos TCP 63256 y 63260. Los últimos hallazgos muestran que la botnet está compuesta por tres clústeres adicionales: xlogin (también conocida como botnet 7777): una botnet compuesta por enrutadores TP-Link comprometidos que tienen abiertos los puertos TCP 7777 y 11288 alogin (también conocida como botnet 63256): una botnet compuesta por enrutadores ASUS comprometidos que tienen abiertos los puertos TCP 63256 y 63260 rlogin: una botnet compuesta por dispositivos Ruckus Wireless comprometidos que tienen abierto el puerto TCP 63210 axlogin: una botnet capaz de atacar dispositivos NAS Axentra (aún no detectado en la naturaleza) zylogin: una botnet compuesta por dispositivos VPN Zyxel comprometidos que tienen abierto el puerto TCP 3256 Sekoia le dijo a The Hacker News que los países con la mayor cantidad de infecciones son Bulgaria (1093), EE. UU. (733) y Ucrania (697). En otra señal de evolución táctica, los actores de amenazas ahora utilizan una nueva puerta trasera denominada UPDTAE que establece un shell inverso basado en HTTP para establecer control remoto en los dispositivos infectados y ejecutar comandos enviados desde un servidor de comando y control (C2). Actualmente no está claro cuál es el propósito exacto de la botnet o quién está detrás de ella, pero la compañía dijo que la actividad probablemente sea obra de un actor de amenazas patrocinado por el estado chino. «En cuanto al 7777 [botnet]»Solo hemos visto intentos de ataque por fuerza bruta contra cuentas de Microsoft 365», dijo Aimé a la publicación. «En cuanto a las otras botnets, todavía no sabemos cómo se utilizan». «Sin embargo, después de los intercambios con otros investigadores y los nuevos hallazgos, estamos casi seguros de que es más probable que los operadores sean patrocinados por el estado de CN en lugar de simples ciberdelincuentes que hacen lo que les placía». [business email compromise]. «Estamos viendo que el actor de la amenaza intenta ser más sigiloso mediante el uso de nuevos programas maliciosos en los dispositivos periféricos comprometidos. El objetivo principal de esa medida es evitar el seguimiento de las botnets afiliadas». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Imagine un mundo en el que nunca tenga que recordar otra contraseña. Parece un sueño hecho realidad tanto para los usuarios finales como para los equipos de TI, ¿verdad? Pero como dice el viejo refrán, «si parece demasiado bueno para ser verdad, probablemente lo sea». Si su organización es como muchas, es posible que esté considerando la posibilidad de adoptar una autenticación sin contraseñas. Pero la realidad es que un enfoque de seguridad sin contraseñas tiene sus propios

11 de septiembre de 2024Ravie LakshmananDelito cibernético / Piratería informática La Fuerza de Policía de Singapur (SPF) ha anunciado el arresto de cinco ciudadanos chinos y un hombre de Singapur por su presunta participación en actividades cibernéticas ilícitas en el país. El hecho se produce después de que un grupo de unos 160 agentes del orden llevara a cabo una serie de redadas el 9 de septiembre de 2024, simultáneamente en varios lugares. Se sospecha que los seis hombres, de entre 32 y 42 años, están vinculados a un «sindicato global» que lleva a cabo actividades cibernéticas maliciosas. Tras la operación, se incautaron dispositivos electrónicos y dinero en efectivo. Entre los detenidos se incluye un ciudadano chino de 42 años de Bidadari Park Drive, al que se le encontró en posesión de una computadora portátil que contenía credenciales para acceder a servidores web utilizados por conocidos grupos de piratas informáticos. No se revelaron las identidades de los actores de la amenaza. Además, al individuo se le confiscaron cinco computadoras portátiles, seis teléfonos móviles, dinero en efectivo por un total de más de S$24.000 (USD$18.400) y criptomonedas por un valor aproximado de USD$850.000. Se dice que otros tres ciudadanos chinos, arrestados en Mount Sinai Avenue, poseían computadoras portátiles que contenían información personal relacionada con proveedores de servicios de Internet extranjeros, herramientas de piratería y «software especializado para controlar malware» como PlugX, un troyano de acceso remoto ampliamente utilizado por grupos patrocinados por el estado chino. Las autoridades también incautaron siete computadoras portátiles, 11 teléfonos móviles y dinero en efectivo por un valor de más de S$54.600 (USD$41.900) a los tres hombres. Otro ciudadano chino de 38 años fue arrestado en Cairnhill Road por sospechas de «ofrecer comprar información de identificación personal que se creía que había sido obtenida por medios ilegales». Se cree que la sexta persona, un ciudadano de Singapur de 34 años que reside en Hougang Avenue, ayudó a los demás en sus actividades maliciosas. Los acusados ​​han sido acusados ​​de delitos tipificados en la Ley de Uso Indebido de Computadoras de 1993 por obtener acceso no autorizado a material informático, retener información personal sin autorización y retener software que podría usarse para cometer otros ataques maliciosos. El ciudadano de Singapur también ha sido acusado de incitar a obtener acceso no autorizado a sitios web, un delito que se castiga con una multa de hasta S$5.000 (USD$3.830), o una pena de prisión de hasta dos años, o ambas, para un infractor primerizo. Channel News Asia ha informado de que un sexto ciudadano chino también fue detenido posteriormente el miércoles por ordenar al hombre de Singapur que se suscribiera a un plan de banda ancha de Singtel. «Se trata de una operación importante, ya que se sospecha que los individuos están llevando a cabo operaciones cibernéticas maliciosas globales desde Singapur», dijo el SPF. «Tenemos tolerancia cero con el uso de Singapur para llevar a cabo actividades delictivas, incluidas actividades cibernéticas ilegales. Trataremos con severidad a los perpetradores». ¿Te ha parecido interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

11 de septiembre de 2024Ravie LakshmananMalware / Desarrollo de software Los investigadores de ciberseguridad han descubierto un nuevo conjunto de paquetes Python maliciosos que se dirigen a los desarrolladores de software bajo la apariencia de evaluaciones de codificación. «Las nuevas muestras fueron rastreadas hasta proyectos de GitHub que se han vinculado a ataques selectivos anteriores en los que se atrae a los desarrolladores mediante entrevistas de trabajo falsas», dijo el investigador de ReversingLabs, Karlo Zanki. Se ha evaluado que la actividad es parte de una campaña en curso denominada VMConnect que salió a la luz por primera vez en agosto de 2023. Hay indicios de que es obra del Grupo Lazarus respaldado por Corea del Norte. El uso de entrevistas de trabajo como vector de infección ha sido adoptado ampliamente por los actores de amenazas norcoreanos, ya sea acercándose a desarrolladores desprevenidos en sitios como LinkedIn o engañándolos para que descarguen paquetes fraudulentos como parte de una supuesta prueba de habilidades. Estos paquetes, por su parte, se han publicado directamente en repositorios públicos como npm y PyPI, o se han alojado en repositorios de GitHub bajo su control. ReversingLabs dijo que identificó código malicioso incrustado en versiones modificadas de bibliotecas PyPI legítimas como pyperclip y pyrebase. «El código malicioso está presente tanto en el archivo __init__.py como en su correspondiente archivo Python compilado (PYC) dentro del directorio __pycache__ de los respectivos módulos», dijo Zanki. Se implementa en forma de una cadena codificada en Base64 que oculta una función de descarga que establece contacto con un servidor de comando y control (C2) para ejecutar comandos recibidos como respuesta. En un caso de la tarea de codificación identificada por la empresa de la cadena de suministro de software, los actores de la amenaza buscaron crear una falsa sensación de urgencia al exigir a los solicitantes de empleo que crearan un proyecto Python compartido en forma de archivo ZIP en cinco minutos y que encontraran y solucionaran una falla de codificación en los siguientes 15 minutos. Esto hace que sea «más probable que ejecute el paquete sin realizar ningún tipo de revisión de seguridad o incluso del código fuente primero», dijo Zanki, y agregó que «eso garantiza a los actores maliciosos detrás de esta campaña que el malware integrado se ejecutará en el sistema del desarrollador». Algunas de las pruebas mencionadas anteriormente afirmaban ser una entrevista técnica para instituciones financieras como Capital One y Rookery Capital Limited, lo que subraya cómo los actores de amenazas se hacen pasar por empresas legítimas del sector para llevar a cabo la operación. Actualmente no está claro cuán extendidas son estas campañas, aunque los objetivos potenciales son explorados y contactados a través de LinkedIn, como también destacó recientemente Mandiant, propiedad de Google. «Después de una conversación de chat inicial, el atacante envió un archivo ZIP que contenía malware COVERTCATCH disfrazado de un desafío de codificación Python, que comprometió el sistema macOS del usuario al descargar un malware de segunda etapa que persistió a través de Launch Agents y Launch Daemons», dijo la compañía. El desarrollo se produce después de que la empresa de ciberseguridad Genians revelara que el actor de amenazas norcoreano con nombre en código Konni está intensificando sus ataques contra Rusia y Corea del Sur mediante el empleo de señuelos de phishing que conducen al despliegue de AsyncRAT, con superposiciones identificadas con una campaña con nombre en código CLOUD#REVERSER (también conocido como puNK-002). Algunos de estos ataques también implican la propagación de un nuevo malware llamado CURKON, un archivo de acceso directo de Windows (LNK) que sirve como descargador para una versión de AutoIt de Lilith RAT. La actividad se ha vinculado a un subgrupo rastreado como puNK-003, según S2W. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

11 de septiembre de 2024Ravie LakshmananSeguridad empresarial/Vulnerabilidad Ivanti ha publicado actualizaciones de software para solucionar múltiples fallas de seguridad que afectan a Endpoint Manager (EPM), incluidas 10 vulnerabilidades críticas que podrían provocar la ejecución remota de código. A continuación, se incluye una breve descripción de los problemas: CVE-2024-29847 (puntuación CVSS: 10,0): una vulnerabilidad de deserialización de datos no confiables que permite que un atacante remoto no autenticado logre la ejecución de código. CVE-2024-32840, CVE-2024-32842, CVE-2024-32843, CVE-2024-32845, CVE-2024-32846, CVE-2024-32848, CVE-2024-34779, CVE-2024-34783 y CVE-2024-34785 (puntuaciones CVSS: 9,1): varias vulnerabilidades de inyección SQL no especificadas que permiten a un atacante remoto autenticado con privilegios de administrador lograr la ejecución remota de código. Las fallas afectan a las versiones 2024 y 2022 SU5 de EPM y anteriores, y las correcciones están disponibles en las versiones 2024 SU1 y 2022 SU6, respectivamente. Ivanti dijo que no ha encontrado evidencia de que las fallas se estén explotando en la naturaleza como un día cero, pero es esencial que los usuarios actualicen a la última versión para protegerse contra amenazas potenciales. También se abordaron como parte de la actualización de septiembre siete deficiencias de alta gravedad en Ivanti Workspace Control (IWC) e Ivanti Cloud Service Appliance (CSA). La compañía dijo que ha aumentado sus capacidades internas de escaneo, explotación manual y prueba, y que realizó mejoras en su proceso de divulgación responsable para descubrir y abordar rápidamente los problemas potenciales. «Esto ha provocado un aumento en el descubrimiento y la divulgación», señaló la compañía. El desarrollo se produce después de una amplia explotación en la naturaleza de varios días cero en los dispositivos Ivanti, incluidos los grupos de espionaje cibernético con nexo con China para violar las redes de interés. También se produce cuando Zyxel envió correcciones para una vulnerabilidad crítica de inyección de comandos del sistema operativo (OS) (CVE-2024-6342, puntuación CVSS: 9.8) en dos de sus dispositivos de almacenamiento conectado a la red (NAS). «Una vulnerabilidad de inyección de comandos en el programa export-cgi de los dispositivos Zyxel NAS326 y NAS542 podría permitir que un atacante no autenticado ejecute algunos comandos del sistema operativo (OS) mediante el envío de una solicitud HTTP POST diseñada», dijo la compañía en una alerta. El agujero de seguridad ha sido abordado en las siguientes versiones: NAS326 (afecta a V5.21(AAZF.18)C0 y anteriores) – Solucionado en V5.21(AAZF.18)Hotfix-01 NAS542 (afecta a V5.21(ABAG.15)C0 y anteriores) – Solucionado en V5.21(ABAG.15)Hotfix-01 ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

11 de septiembre de 2024Ravie LakshmananSeguridad de Windows / Vulnerabilidad Microsoft reveló el martes que tres nuevas fallas de seguridad que afectan a la plataforma Windows han sido objeto de explotación activa como parte de su actualización del martes de parches para septiembre de 2024. La versión de seguridad mensual aborda un total de 79 vulnerabilidades, de las cuales siete están calificadas como críticas, 71 están calificadas como importantes y una está calificada como moderada en gravedad. Esto se suma a las 26 fallas que el gigante tecnológico resolvió en su navegador Edge basado en Chromium desde el lanzamiento del martes de parches del mes pasado. Las tres vulnerabilidades que se han utilizado como arma en un contexto malicioso se enumeran a continuación, junto con un error que Microsoft está tratando como explotado: CVE-2024-38014 (puntuación CVSS: 7,8) – Vulnerabilidad de elevación de privilegios de Windows Installer CVE-2024-38217 (puntuación CVSS: 5,4) – Vulnerabilidad de omisión de funciones de seguridad de Windows Mark-of-the-Web (MotW) CVE-2024-38226 (puntuación CVSS: 7,3) – Vulnerabilidad de omisión de funciones de seguridad de Microsoft Publisher CVE-2024-43491 (puntuación CVSS: 9,8) – Vulnerabilidad de ejecución remota de código de Microsoft Windows Update «La explotación de CVE-2024-38226 y CVE-2024-38217 puede provocar la omisión de funciones de seguridad importantes que bloquean la ejecución de macros de Microsoft Office», Satnam Narang, El ingeniero de investigación senior de Tenable, en un comunicado, dijo: «En ambos casos, se debe convencer al objetivo de abrir un archivo especialmente diseñado desde un servidor controlado por el atacante. En lo que difieren es en que un atacante necesitaría estar autenticado en el sistema y tener acceso local a él para explotar CVE-2024-38226». Como reveló Elastic Security Labs el mes pasado, se dice que CVE-2024-38217, también conocido como LNK Stomping, ha sido objeto de abuso en la naturaleza desde febrero de 2018. CVE-2024-43491, por otro lado, es notable por el hecho de que es similar al ataque de degradación que la empresa de ciberseguridad SafeBreach detalló a principios del mes pasado. «Microsoft es consciente de una vulnerabilidad en Servicing Stack que ha revertido las correcciones para algunas vulnerabilidades que afectan a los componentes opcionales en Windows 10, versión 1507 (versión inicial lanzada en julio de 2015)», señaló Redmond. «Esto significa que un atacante podría explotar estas vulnerabilidades previamente mitigadas en los sistemas Windows 10, versión 1507 (Windows 10 Enterprise 2015 LTSB y Windows 10 IoT Enterprise 2015 LTSB) que hayan instalado la actualización de seguridad de Windows publicada el 12 de marzo de 2024: KB5035858 (compilación del SO 10240.20526) u otras actualizaciones publicadas hasta agosto de 2024». El fabricante de Windows dijo además que se puede resolver instalando la actualización de la pila de servicio de septiembre de 2024 (SSU KB5043936) y la actualización de seguridad de Windows de septiembre de 2024 (KB5043083), en ese orden. También vale la pena señalar que la evaluación de Microsoft como «Explotación detectada» para CVE-2024-43491 se deriva de la reversión de correcciones que abordaban vulnerabilidades que afectaban a algunos componentes opcionales para Windows 10 (versión 1507) que habían sido explotadas anteriormente. «No se ha detectado ninguna explotación de CVE-2024-43491 en sí», dijo la compañía. «Además, el equipo de productos de Windows en Microsoft descubrió este problema y no hemos visto evidencia de que sea de conocimiento público». Parches de software de otros proveedores Además de Microsoft, otros proveedores también han publicado actualizaciones de seguridad durante las últimas semanas para corregir varias vulnerabilidades, entre ellas: Adobe Arm Bosch Broadcom (incluido VMware) Cisco Citrix CODESYS D-Link Dell Drupal F5 Fortinet Fortra GitLab Google Android y Pixel Google Chrome Google Cloud Google Wear OS Hitachi Energy HP HP Enterprise (incluidas Aruba Networks) IBM Intel Ivanti Lenovo Distribuciones de Linux Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE y Ubuntu MediaTek Mitsubishi Electric MongoDB Mozilla Firefox, Firefox ESR, Focus y Thunderbird NVIDIA ownCloud Palo Alto Networks Progress Software QNAP Qualcomm Rockwell Automation Samsung SAP Schneider Electric Siemens SolarWinds SonicWall Spring Framework Synology Veeam Zimbra Zoho ManageEngine ServiceDesk Plus, SupportCenter Plus y ServiceDesk Plus MSP Zoom y Zyxel ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.