Todo lo que necesitas saber sobre tecnología

Etiqueta: noticias de piratería Página 1 de 23

AT&T confirma una filtración de datos que afecta a casi todos los clientes de telefonía móvil

AT&T confirma una filtración de datos que afecta a casi todos los clientes de telefonía móvil

El proveedor estadounidense de servicios de telecomunicaciones AT&T ha confirmado que los actores de amenazas lograron acceder a los datos pertenecientes a «casi todos» sus clientes inalámbricos, así como a los clientes de los operadores de redes virtuales móviles (MVNO) que utilizan la red inalámbrica de AT&T. «Los actores de amenazas accedieron ilegalmente a un espacio de trabajo de AT&T en una plataforma en la nube de terceros y, entre el 14 y el 25 de abril de 2024, exfiltraron archivos que contenían registros de AT&T de interacciones de llamadas y mensajes de texto de clientes que ocurrieron entre aproximadamente el 1 de mayo y el 31 de octubre de 2022, así como el 2 de enero de 2023», dijo. Esto incluye números de teléfono con los que interactuó un número inalámbrico de AT&T o MVNO, incluidos los números de teléfono de los clientes de telefonía fija de AT&T y los clientes de otros operadores, recuentos de esas interacciones y la duración total de las llamadas durante un día o un mes. Un subconjunto de estos registros también contenía uno o más números de identificación de sitios celulares, lo que potencialmente permitía a los actores de amenazas triangular la ubicación aproximada de un cliente cuando se realizó una llamada o se envió un mensaje de texto. AT&T dijo que alertará a los clientes actuales y anteriores si su información se vio involucrada. «Los actores de amenazas han utilizado datos de ataques anteriores para asignar números de teléfono a identidades», dijo Jake Williams, ex pirata informático de la NSA y profesor de IANS Research. «Lo que los actores de amenazas robaron aquí son efectivamente registros de datos de llamadas (CDR), que son una mina de oro en el análisis de inteligencia porque se pueden utilizar para entender quién está hablando con quién y cuándo». La lista de MVNO de AT&T incluye a Black Wireless, Boost Infinite, Consumer Cellular, Cricket Wireless, FreedomPop, FreeUp Mobile, Good2Go, H2O Wireless, PureTalk, Red Pocket, Straight Talk Wireless, TracFone Wireless, Unreal Mobile y Wing. AT&T no reveló el nombre del proveedor de nube externo, pero Snowflake ha confirmado desde entonces que la violación estaba relacionada con el ataque que afectó a otros clientes, como Ticketmaster, Santander, Neiman Marcus y LendingTree, según Bloomberg. La compañía dijo que se enteró del incidente el 19 de abril de 2024 y activó de inmediato sus esfuerzos de respuesta. Señaló además que está trabajando con las fuerzas del orden en sus esfuerzos por arrestar a los involucrados, y que «al menos una persona ha sido detenida». 404 Media informó que un ciudadano estadounidense de 24 años llamado John Binns, que fue arrestado previamente en Turquía en mayo de 2024, está relacionado con el evento de seguridad, citando tres fuentes anónimas. También fue acusado en los EE. UU. por infiltrarse en T-Mobile en 2021 y vender sus datos de clientes. Sin embargo, enfatizó que la información a la que se accedió no incluye el contenido de llamadas o mensajes de texto, información personal como números de Seguro Social, fechas de nacimiento u otra información de identificación personal. «Si bien los datos no incluyen los nombres de los clientes, a menudo hay formas, utilizando herramientas en línea disponibles públicamente, de encontrar el nombre asociado con un número de teléfono específico», dijo en una presentación del Formulario 8-K ante la Comisión de Bolsa y Valores de EE. UU. (SEC). También insta a los usuarios a estar atentos a la suplantación de identidad (phishing), el smishing y el fraude en línea abriendo únicamente los mensajes de texto de remitentes de confianza. Además de eso, los clientes pueden enviar una solicitud para obtener los números de teléfono de sus llamadas y mensajes de texto en los datos descargados ilegalmente. La campaña cibernética maliciosa dirigida a Snowflake ha puesto a 165 clientes en la mira, y Mandiant, propiedad de Google, atribuye la actividad a un actor de amenazas con motivaciones económicas denominado UNC5537 que abarca «miembros con sede en América del Norte y colabora con un miembro adicional en Turquía». Los delincuentes han exigido pagos de entre 300.000 y 5 millones de dólares a cambio de los datos robados. El último desarrollo muestra que las repercusiones de la ola de delitos cibernéticos están aumentando en alcance y han tenido un efecto en cascada. WIRED reveló el mes pasado cómo los piratas informáticos detrás de los robos de datos de Snowflake consiguieron credenciales robadas de Snowflake de servicios de la dark web que venden acceso a nombres de usuario, contraseñas y tokens de autenticación que son capturados por malware ladrón. Esto incluyó la obtención de acceso a través de un contratista externo llamado EPAM Systems. Por su parte, Snowflake anunció esta semana que los administradores ahora pueden aplicar la autenticación multifactor (MFA) obligatoria para todos los usuarios para mitigar el riesgo de apropiación de cuentas. También dijo que pronto requerirá MFA para todos los usuarios en cuentas Snowflake recién creadas. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Soldado australiano y su marido acusados ​​de espionaje para Rusia

Soldado australiano y su marido acusados ​​de espionaje para Rusia

12 de julio de 2024Sala de prensaCrimen cibernético / Seguridad en línea Dos ciudadanos australianos nacidos en Rusia han sido arrestados y acusados ​​en el país por espiar en nombre de Rusia como parte de una operación policial «compleja» con el nombre en código BURGAZADA. Entre ellos se encuentran una mujer de 40 años, soldado raso del ejército de las Fuerzas de Defensa de Australia (ADF), y su marido, un trabajador autónomo de 62 años. Los medios de comunicación los han identificado como Kira Korolev e Igor Korolev, respectivamente, y han señalado que llevaban más de una década en Australia. El matrimonio fue arrestado en su casa en el suburbio de Everton Park, en Brisbane, el 11 de julio de 2024, según informó la Policía Federal Australiana (AFP) en un comunicado. Se les ha acusado a cada uno de un cargo de preparación para un delito de espionaje, que conlleva una pena máxima de 15 años de prisión. «Es la primera vez que se presenta un delito de espionaje en Australia desde que la Commonwealth introdujo nuevas leyes en 2018», afirmó la AFP. La agencia federal de aplicación de la ley ha alegado que la pareja se coludió para obtener información sensible después de que la mujer viajara a Rusia mientras estaba de baja prolongada de la ADF desde 2023. Se dice que ella le ordenó a su esposo, que permaneció en Australia, que iniciara sesión en su cuenta de trabajo oficial y le ordenó que accediera a información específica y la enviara directamente a su cuenta de correo electrónico privada mientras ella estaba en el extranjero. «Las credenciales de la cuenta de la ADF de la mujer se utilizaron en varias ocasiones para acceder a información sensible de la ADF, con la intención de proporcionarla a las autoridades rusas», dijo la AFP. Aunque no se revelaron los documentos exactos a los que se accedió, la AFP dijo que estaban relacionados con los intereses de seguridad nacional de Australia. Sigue en curso una investigación sobre si la información fue entregada a Rusia. «El espionaje es un delito insidioso y, en un momento de inestabilidad global, los actores estatales han intensificado sus esfuerzos para obtener información en poder de las democracias occidentales, incluida Australia», dijo el comisario de la AFP, Reece Kershaw. «El espionaje no es un delito sin víctimas. Tiene el potencial de afectar a la soberanía, la seguridad y el estilo de vida de Australia». Las detenciones marcan la tercera vez que se acusa a personas de espionaje o delitos relacionados con la interferencia extranjera desde su incorporación a la Ley del Código Penal de 1995. El pasado mes de abril, un hombre de Nueva Gales del Sur, de 55 años, fue acusado de proporcionar información sobre «disposiciones de defensa, económicas y de seguridad nacional australianas» a dos personas asociadas con un servicio de inteligencia extranjero que se sospecha que realizan actividades de recopilación de inteligencia. Luego, a finales de febrero de 2024, un hombre de 68 años de Melbourne fue condenado a dos años y nueve meses de prisión por intentar influir en un parlamentario federal en nombre de un gobierno extranjero. Mike Burgess, Director General de Seguridad a cargo de la Organización Australiana de Inteligencia y Seguridad (ASIO), dijo que la amenaza actual del espionaje es «real» y que «varios países están tratando de robar los secretos de Australia». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

El malware DarkGate explota los recursos compartidos de archivos Samba en una campaña de corta duración

El malware DarkGate explota los recursos compartidos de archivos Samba en una campaña de corta duración

12 de julio de 2024Sala de prensaMalware / Ataque cibernético Los investigadores de ciberseguridad han arrojado luz sobre una campaña de malware DarkGate de corta duración que aprovechó los recursos compartidos de archivos Samba para iniciar las infecciones. La Unidad 42 de Palo Alto Networks dijo que la actividad abarcó los meses de marzo y abril de 2024, y que las cadenas de infección utilizaron servidores que ejecutaban recursos compartidos de archivos Samba de cara al público que alojaban archivos Visual Basic Script (VBS) y JavaScript. Los objetivos incluían América del Norte, Europa y partes de Asia. «Esta fue una campaña relativamente de corta duración que ilustra cómo los actores de amenazas pueden abusar creativamente de herramientas y servicios legítimos para distribuir su malware», dijeron los investigadores de seguridad Vishwa Thothathri, Yijie Sui, Anmol Maurya, Uday Pratap Singh y Brad Duncan. DarkGate, que surgió por primera vez en 2018, se ha convertido en una oferta de malware como servicio (MaaS) utilizada por un número estrictamente controlado de clientes. Viene con capacidades para controlar de forma remota los hosts comprometidos, ejecutar código, extraer criptomonedas, lanzar shells inversos y soltar cargas útiles adicionales. Los ataques que involucran al malware han sido particularmente testigos de un aumento en los últimos meses a raíz del derribo de la infraestructura QakBot por parte de las fuerzas del orden multinacionales en agosto de 2023. La campaña documentada por Unit 42 comienza con archivos de Microsoft Excel (.xlsx) que, cuando se abren, instan a los objetivos a hacer clic en un botón Abrir incrustado, que, a su vez, obtiene y ejecuta el código VBS alojado en un recurso compartido de archivos Samba. El script de PowerShell está configurado para recuperar y ejecutar un script de PowerShell, que luego se usa para descargar un paquete DarkGate basado en AutoHotKey. Las secuencias alternativas que usan archivos JavaScript en lugar de VBS no son diferentes, ya que también están diseñadas para descargar y ejecutar el script de PowerShell de seguimiento. DarkGate funciona escaneando varios programas anti-malware y verificando la información de la CPU para determinar si se está ejecutando en un host físico o en un entorno virtual, lo que le permite obstaculizar el análisis. También examina los procesos en ejecución del host para determinar la presencia de herramientas de ingeniería inversa, depuradores o software de virtualización. «El tráfico C2 de DarkGate utiliza solicitudes HTTP sin cifrar, pero los datos están ofuscados y aparecen como texto codificado en Base64», dijeron los investigadores. «A medida que DarkGate continúa evolucionando y refinando sus métodos de infiltración y resistencia al análisis, sigue siendo un potente recordatorio de la necesidad de defensas de ciberseguridad sólidas y proactivas». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Vulnerabilidad crítica en servidor de correo Exim expone a millones de personas a archivos adjuntos maliciosos

Vulnerabilidad crítica en servidor de correo Exim expone a millones de personas a archivos adjuntos maliciosos

12 de julio de 2024Sala de prensaVulnerabilidad / Seguridad del software Se ha revelado un problema de seguridad crítico en el agente de transferencia de correo Exim que podría permitir a los actores de amenazas enviar archivos adjuntos maliciosos a las bandejas de entrada de los usuarios objetivo. La vulnerabilidad, identificada como CVE-2024-39929, tiene una puntuación CVSS de 9,1 sobre 10,0. Se ha abordado en la versión 4.98. «Exim hasta la versión 4.97.1 analiza incorrectamente un nombre de archivo de encabezado RFC 2231 de varias líneas y, por lo tanto, los atacantes remotos pueden eludir un mecanismo de protección de bloqueo de extensión $mime_filename y potencialmente enviar archivos adjuntos ejecutables a los buzones de correo de los usuarios finales», según una descripción compartida en la Base de datos nacional de vulnerabilidades de EE. UU. (NVD). Exim es un agente de transferencia de correo gratuito que se utiliza en hosts que ejecutan sistemas operativos Unix o similares a Unix. Se lanzó por primera vez en 1995 para su uso en la Universidad de Cambridge. La empresa de gestión de la superficie de ataque Censys dijo que 4.830.719 de los 6.540.044 servidores de correo SMTP de acceso público ejecutan Exim. Al 12 de julio de 2024, 1.563.085 servidores Exim accesibles a través de Internet ejecutan una versión potencialmente vulnerable (4.97.1 o anterior). La mayoría de las instancias vulnerables se encuentran en Estados Unidos, Rusia y Canadá. «La vulnerabilidad podría permitir a un atacante remoto eludir las medidas de protección de bloqueo de extensiones de nombre de archivo y enviar archivos adjuntos ejecutables directamente a los buzones de correo de los usuarios finales», señaló. «Si un usuario descargara o ejecutara uno de estos archivos maliciosos, el sistema podría verse comprometido». Esto también significa que los posibles objetivos deben hacer clic en un ejecutable adjunto para que el ataque tenga éxito. Si bien no hay informes de explotación activa de la falla, es esencial que los usuarios actúen rápidamente para aplicar los parches para mitigar las amenazas potenciales. El desarrollo se produce casi un año después de que los responsables del proyecto detectaran un conjunto de seis vulnerabilidades en Exim que podrían provocar la divulgación de información y la ejecución remota de código. ¿Te ha parecido interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

¿Alguna vez se preguntó cómo los piratas informáticos roban contraseñas? Descubra sus tácticas en este seminario web

¿Alguna vez se preguntó cómo los piratas informáticos roban contraseñas? Descubra sus tácticas en este seminario web

12 de julio de 2024The Hacker NewsSeguridad digital / Seguridad en línea En la era digital actual, las contraseñas sirven como claves para acceder a nuestra información más confidencial, desde cuentas de redes sociales hasta sistemas bancarios y comerciales. Este inmenso poder conlleva una gran responsabilidad y vulnerabilidad. La mayoría de las personas no se dan cuenta de que sus credenciales se han visto comprometidas hasta que el daño está hecho. Imagínese despertarse con cuentas bancarias vacías, identidades robadas o la reputación de una empresa hecha pedazos. Este no es solo un escenario hipotético: es la dura realidad a la que se enfrentan innumerables personas y organizaciones todos los días. Datos recientes revelan que las credenciales comprometidas son el principal vector de ataque en 2024. Eso significa que las contraseñas robadas, no el malware exótico o los exploits de día cero, son la forma más común en que los piratas informáticos violan los sistemas y causan estragos. Para ayudarlo a abordar este problema crítico, lo invitamos a unirse a nuestro seminario web exclusivo, «Credenciales comprometidas en 2024: qué debe saber sobre el vector de ataque número uno del mundo». Lo que aprenderá: En este seminario web, Tim Chase profundizará en el mundo de las credenciales comprometidas y cubrirá lo siguiente: La anatomía de un ataque: comprenda cómo los atacantes roban y explotan las credenciales mediante phishing y fuerza bruta. Qué sucede a continuación: aprenda sobre las tácticas comunes posteriores al acceso, como la exfiltración de datos, el ransomware y el movimiento lateral. El precio de la inacción: descubra el daño financiero y reputacional que pueden resultar de los ataques a las credenciales. Defensa proactiva: obtenga estrategias prácticas para prevenir el robo de credenciales con contraseñas seguras, autenticación multifactor, capacitación de empleados y detección de amenazas. Por qué debería asistir: Perspectivas de expertos: la amplia experiencia de Tim Chase trabajando con juntas directivas y ejecutivos en asuntos de seguridad brinda una perspectiva única sobre los desafíos y las soluciones en torno a las credenciales comprometidas. Soluciones prácticas: salga con una comprensión clara de los pasos que puede tomar para salvaguardar sus credenciales y proteger a su organización de los ataques. No pierda esta oportunidad de armarse con el conocimiento y las herramientas necesarias para proteger su reino digital de la amenaza siempre presente de las credenciales comprometidas. Únase a este seminario web ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

EE.UU. confisca dominios utilizados por una granja de bots rusos con inteligencia artificial para desinformar

EE.UU. confisca dominios utilizados por una granja de bots rusos con inteligencia artificial para desinformar

El Departamento de Justicia de Estados Unidos (DoJ) dijo que confiscó dos dominios de Internet y registró casi 1.000 cuentas de redes sociales que los actores de amenazas rusos supuestamente usaban para difundir de forma encubierta desinformación a favor del Kremlin en el país y en el extranjero a gran escala. «La granja de bots de redes sociales utilizó elementos de inteligencia artificial para crear perfiles ficticios en las redes sociales, que a menudo pretendían pertenecer a personas en los Estados Unidos, que luego los operadores usaron para promover mensajes en apoyo de los objetivos del gobierno ruso», dijo el DoJ. Se dice que la red de bots, que comprende 968 cuentas en X, es parte de un elaborado plan tramado por un empleado del medio de comunicación estatal ruso RT (anteriormente Russia Today), patrocinado por el Kremlin y ayudado por un oficial del Servicio Federal de Seguridad de Rusia (FSB), que creó y dirigió una organización de inteligencia privada anónima. Los esfuerzos de desarrollo para la granja de bots comenzaron en abril de 2022 cuando las personas adquirieron infraestructura en línea mientras anonimizaban sus identidades y ubicaciones. El objetivo de la organización, según el Departamento de Justicia, era promover los intereses rusos difundiendo desinformación a través de personajes ficticios en línea que representaban a varias nacionalidades. Las cuentas falsas en las redes sociales se registraron utilizando servidores de correo electrónico privados que dependían de dos dominios: mlrtr[.]com y otanmail[.]com – que fueron comprados al registrador de dominios Namecheap. Desde entonces, X ha suspendido las cuentas de bots por violar sus términos de servicio. La operación de información, que tenía como objetivo a Estados Unidos, Polonia, Alemania, Países Bajos, España, Ucrania e Israel, se llevó a cabo utilizando un paquete de software impulsado por IA llamado Meliorator que facilitó la creación y operación «en masa» de dicha granja de bots de redes sociales. «Usando esta herramienta, los afiliados de RT difundieron desinformación a y sobre varios países, incluidos Estados Unidos, Polonia, Alemania, Países Bajos, España, Ucrania e Israel», dijeron las agencias de aplicación de la ley de Canadá, Países Bajos y Estados Unidos. Meliorator incluye un panel de administrador llamado Brigadir y una herramienta de backend llamada Taras, que se utiliza para controlar las cuentas que parecen auténticas, cuyas fotos de perfil e información biográfica se generaron utilizando un programa de código abierto llamado Faker. Cada una de estas cuentas tenía una identidad o «alma» distinta basada en uno de los tres arquetipos de bots: aquellos que propagan ideologías políticas favorables al gobierno ruso, como mensajes ya compartidos por otros bots, y perpetúan la desinformación compartida tanto por cuentas bot como por otras. Si bien el paquete de software solo se identificó en X, un análisis más detallado reveló las intenciones de los actores de la amenaza de extender su funcionalidad para cubrir otras plataformas de redes sociales. Además, el sistema eludió las salvaguardas de X para verificar la autenticidad de los usuarios al copiar automáticamente las contraseñas de un solo uso enviadas a las direcciones de correo electrónico registradas y asignar direcciones IP proxy a personajes generados por IA en función de su ubicación supuesta. «Las cuentas de personajes bot hacen intentos obvios de evitar prohibiciones por violaciones de los términos de servicio y evitar ser notados como bots al mezclarse con el entorno más amplio de las redes sociales», dijeron las agencias. «Al igual que las cuentas auténticas, estos bots siguen cuentas genuinas que reflejan sus inclinaciones políticas e intereses enumerados en su biografía». «La agricultura es un pasatiempo muy querido por millones de rusos», dijo RT a Bloomberg en respuesta a las acusaciones, sin refutarlas directamente. El desarrollo marca la primera vez que Estados Unidos señala públicamente a un gobierno extranjero por usar IA en una operación de influencia extranjera. No se han hecho públicos cargos penales en el caso, pero una investigación sobre la actividad sigue en curso. Doppelganger sigue vivo En los últimos meses, Google, Meta y OpenAI han advertido que las operaciones de desinformación rusas, incluidas las orquestadas por una red denominada Doppelganger, han aprovechado repetidamente sus plataformas para difundir propaganda prorrusa. «La campaña sigue activa, así como la red y la infraestructura del servidor responsables de la distribución de contenido», dijeron Qurium y EU DisinfoLab en un nuevo informe publicado el jueves. «Sorprendentemente, Doppelganger no opera desde un centro de datos oculto en una fortaleza de Vladivostok o desde una cueva militar remota, sino desde proveedores rusos de nueva creación que operan dentro de los centros de datos más grandes de Europa. Doppelganger opera en estrecha asociación con actividades cibercriminales y redes de publicidad afiliadas». En el centro de la operación se encuentra una red de proveedores de alojamiento a prueba de balas que abarca Aeza, Evil Empire, GIR y TNSECURITY, que también han albergado dominios de comando y control para diferentes familias de malware como Stealc, Amadey, Agent Tesla, Glupteba, Raccoon Stealer, RisePro, RedLine Stealer, RevengeRAT, Lumma, Meduza y Mystic. Además, NewsGuard, que proporciona una serie de herramientas para contrarrestar la desinformación, descubrió recientemente que los populares chatbots de IA son propensos a repetir «narrativas inventadas de sitios afiliados al estado que se hacen pasar por medios de comunicación locales en un tercio de sus respuestas». Operaciones de influencia de Irán y China También llega cuando la Oficina del Director de Inteligencia Nacional de Estados Unidos (ODNI) dijo que Irán «se está volviendo cada vez más agresivo en sus esfuerzos de influencia extranjera, buscando avivar la discordia y socavar la confianza en nuestras instituciones democráticas». La agencia señaló además que los actores iraníes continúan refinando sus actividades cibernéticas y de influencia, utilizando plataformas de redes sociales y emitiendo amenazas, y que están amplificando las protestas a favor de Gaza en Estados Unidos haciéndose pasar por activistas en línea. Google, por su parte, dijo que bloqueó en el primer trimestre de 2024 más de 10.000 instancias de actividad de Dragon Bridge (también conocido como Spamouflage Dragon), que es el nombre que se le da a una red de influencia spam pero persistente vinculada a China, en YouTube y Blogger que promovía narrativas que retrataban a Estados Unidos de una manera negativa, así como contenido relacionado con las elecciones en Taiwán y la guerra entre Israel y Hamás dirigida a hablantes de chino. En comparación, el gigante tecnológico interrumpió no menos de 50.000 casos de este tipo en 2022 y 65.000 más en 2023. En total, ha evitado más de 175.000 casos hasta la fecha durante la vida útil de la red. «A pesar de su continua y profusa producción de contenido y la escala de sus operaciones, DRAGONBRIDGE prácticamente no logra ninguna interacción orgánica de los espectadores reales», dijo el investigador de Threat Analysis Group (TAG) Zak Butler. «En los casos en los que el contenido de DRAGONBRIDGE recibió interacción, fue casi en su totalidad inauténtico, proveniente de otras cuentas de DRAGONBRIDGE y no de usuarios auténticos». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Se descubrieron 60 nuevos paquetes maliciosos en un ataque a la cadena de suministro de NuGet

Se descubrieron 60 nuevos paquetes maliciosos en un ataque a la cadena de suministro de NuGet

11 de julio de 2024Sala de prensaSeguridad de software / Inteligencia de amenazasSe ha observado que los actores de amenazas publican una nueva ola de paquetes maliciosos en el administrador de paquetes NuGet como parte de una campaña en curso que comenzó en agosto de 2023, al tiempo que agregan una nueva capa de sigilo para evadir la detección. Los nuevos paquetes, alrededor de 60 en número y que abarcan 290 versiones, demuestran un enfoque refinado con respecto al conjunto anterior que salió a la luz en octubre de 2023, dijo la empresa de seguridad de la cadena de suministro de software ReversingLabs. Los atacantes pasaron de usar las integraciones MSBuild de NuGet a «una estrategia que utiliza descargadores simples y ofuscados que se insertan en archivos binarios PE legítimos utilizando Intermediary Language (IL) Weaving, una técnica de programación .NET para modificar el código de una aplicación después de la compilación», dijo el investigador de seguridad Karlo Zanki. El objetivo final de los paquetes falsificados, tanto antiguos como nuevos, es distribuir un troyano de acceso remoto listo para usar llamado SeroXen RAT. Desde entonces, todos los paquetes identificados han sido eliminados. La última colección de paquetes se caracteriza por el uso de una técnica novedosa llamada IL weaving que permite inyectar funcionalidad maliciosa a un binario .NET ejecutable portátil (PE) legítimo tomado de un paquete NuGet legítimo. Esto incluye tomar paquetes de código abierto populares como Guna.UI2.WinForms y parchearlos con el método mencionado anteriormente para crear un paquete impostor llamado «Gսոa.UI3.Wіnfօrms», que usa homoglifos para sustituir las letras «u», «n», «i» y «o» con sus equivalentes «ս» (\u057D), «ո» (\u0578), «і» (\u0456) y «օ» (\u0585). «Los actores de amenazas están constantemente desarrollando los métodos y las tácticas que utilizan para comprometer e infectar a sus víctimas con código malicioso que se utiliza para extraer datos confidenciales o proporcionar a los atacantes el control sobre los activos de TI», dijo Zanki. «Esta última campaña destaca nuevas formas en las que los actores maliciosos están conspirando para engañar a los desarrolladores, así como a los equipos de seguridad, para que descarguen y utilicen paquetes maliciosos o alterados de administradores de paquetes de código abierto populares como NuGet». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Palo Alto Networks corrige falla crítica en la herramienta de migración de expediciones

Palo Alto Networks corrige falla crítica en la herramienta de migración de expediciones

11 de julio de 2024Sala de prensaVulnerabilidad / Seguridad empresarial Palo Alto Networks ha publicado actualizaciones de seguridad para solucionar cinco fallos de seguridad que afectan a sus productos, incluido un error crítico que podría provocar una omisión de la autenticación. Catalogada como CVE-2024-5910 (puntuación CVSS: 9,3), la vulnerabilidad se ha descrito como un caso de falta de autenticación en su herramienta de migración Expedition que podría provocar la toma de control de una cuenta de administrador. «La falta de autenticación para una función crítica en Palo Alto Networks Expedition puede provocar que los atacantes con acceso a la red de Expedition se apropien de la cuenta de administrador de Expedition», afirmó la empresa en un aviso. «Los secretos de configuración, las credenciales y otros datos importados a Expedition están en riesgo debido a este problema». La falla afecta a todas las versiones de Expedition anteriores a la versión 1.2.92, que soluciona el problema. El descubrimiento y la denuncia del problema se atribuyen a Brian Hysell, del Centro de Investigación de Ciberseguridad de Synopsys (CyRC). Si bien no hay evidencia de que la vulnerabilidad haya sido explotada en la naturaleza, se recomienda a los usuarios que actualicen a la última versión para protegerse contra posibles amenazas. Como solución alternativa, Palo Alto Networks recomienda que el acceso a la red de Expedition esté restringido a usuarios, hosts o redes autorizados. La firma estadounidense de ciberseguridad también ha corregido una falla recientemente revelada en el protocolo RADIUS llamada BlastRADIUS (CVE-2024-3596) que podría permitir que un actor malicioso con capacidades realice un ataque de adversario en el medio (AitM) entre el firewall PAN-OS de Palo Alto Networks y un servidor RADIUS para eludir la autenticación. La vulnerabilidad luego permite al atacante «escalar privilegios a ‘superusuario’ cuando se utiliza la autenticación RADIUS y se selecciona CHAP o PAP en el perfil del servidor RADIUS», dijo. Los siguientes productos se ven afectados por las deficiencias: PAN-OS 11.1 (versiones < 11.1.3, fixed in >= 11.1.3) PAN-OS 11.0 (versiones < 11.0.4-h4, fixed in >= 11.0.4-h4) PAN-OS 10.2 (versiones < 10.2.10, fixed in >= 10.2.10) PAN-OS 10.1 (versiones < 10.1.14, fixed in >= 10.1.14) PAN-OS 9.1 (versiones < 9.1.19, fixed in >= 9.1.19) Prisma Access (todas las versiones, se espera que la corrección se publique el 30 de julio) También se señaló que no se deben utilizar CHAP ni PAP a menos que estén encapsulados por un túnel cifrado, ya que los protocolos de autenticación no ofrecen seguridad de la capa de transporte (TLS). No son vulnerables en los casos en que se utilizan junto con un túnel TLS. Sin embargo, vale la pena señalar que los firewalls PAN-OS configurados para usar EAP-TTLS con PAP como protocolo de autenticación para un servidor RADIUS tampoco son susceptibles al ataque. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

APT41 chino actualiza su arsenal de malware con DodgeBox y MoonWalk

APT41 chino actualiza su arsenal de malware con DodgeBox y MoonWalk

11 de julio de 2024Sala de prensaEspionaje cibernético / Seguridad de redesSe sospecha que el grupo de amenazas persistentes avanzadas (APT) vinculado a China, cuyo nombre en código es APT41, está utilizando una «versión avanzada y mejorada» de un malware conocido llamado StealthVector para distribuir una puerta trasera no documentada previamente denominada MoonWalk. La nueva variante de StealthVector, también conocida como DUSTPAN, ha sido bautizada como DodgeBox por Zscaler ThreatLabz, que descubrió la cepa del cargador en abril de 2024. «DodgeBox es un cargador que procede a cargar una nueva puerta trasera denominada MoonWalk», dijeron los investigadores de seguridad Yin Hong Chang y Sudeep Singh. «MoonWalk comparte muchas técnicas de evasión implementadas en DodgeBox y utiliza Google Drive para la comunicación de comando y control (C2)». APT41 es el apodo asignado a un prolífico actor de amenazas patrocinado por un estado afiliado a China que se sabe que está activo desde al menos 2007. También es rastreado por la comunidad de ciberseguridad más amplia bajo los nombres Axiom, Blackfly, Brass Typhoon (anteriormente Barium), Bronze Atlas, Earth Baku, HOODOO, Red Kelpie, TA415, Wicked Panda y Winnti. En septiembre de 2020, el Departamento de Justicia de EE. UU. (DoJ) anunció la acusación formal de varios actores de amenazas asociados con el equipo de piratas informáticos por orquestar campañas de intrusión dirigidas a más de 100 empresas en todo el mundo. «Las intrusiones […] «facilitó el robo de código fuente, certificados de firma de código de software, datos de cuentas de clientes e información comercial valiosa», dijo el Departamento de Justicia en ese momento, y agregó que también permitieron «otros esquemas criminales, incluidos ransomware y esquemas de ‘crypto-jacking'». En los últimos años, el grupo de amenazas ha estado vinculado a violaciones de las redes del gobierno estatal de EE. UU. Entre mayo de 2021 y febrero de 2022, además de ataques dirigidos a organizaciones de medios taiwanesas utilizando una herramienta de equipo rojo de código abierto conocida como Google Command and Control (GC2). El uso de StealthVector por APT41 fue documentado por primera vez por Trend Micro en agosto de 2021, describiéndolo como un cargador de shellcode escrito en C / C ++ que se usa para entregar Cobalt Strike Beacon y un implante de shellcode llamado ScrambleCross (también conocido como SideWalk). Se evalúa que DodgeBox es una versión mejorada de StealthVector, al mismo tiempo que incorpora varias técnicas como suplantación de pila de llamadas, carga lateral de DLL y vaciado de DLL para evadir la detección.El método por el que se distribuye el malware es desconocido en la actualidad. «APT41 emplea la carga lateral de DLL como medio para ejecutar DodgeBox», dijeron los investigadores. «Utilizan un ejecutable legítimo (taskhost.exe), firmado por Sandboxie, para cargar lateralmente una DLL maliciosa (sbiedll.dll)». La DLL maliciosa (es decir, DodgeBox) es un cargador de DLL escrito en C que actúa como un conducto para descifrar y lanzar una carga útil de segunda etapa, la puerta trasera MoonWalk. La atribución de DodgeBox a APT41 se deriva de las similitudes entre DodgeBox y StealthVector; el uso de la carga lateral de DLL, una técnica ampliamente utilizada por los grupos del nexo con China para distribuir malware como PlugX; y el hecho de que se han enviado muestras de DodgeBox a VirusTotal desde Tailandia y Taiwán. «DodgeBox es un cargador de malware recientemente identificado que emplea múltiples técnicas para evadir la detección estática y de comportamiento», dijeron los investigadores. «Ofrece varias capacidades, entre ellas, descifrar y cargar archivos DLL integrados, realizar comprobaciones y vinculaciones del entorno y ejecutar procedimientos de limpieza». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

PAM para pequeñas y medianas empresas

PAM para pequeñas y medianas empresas

11 de julio de 2024The Hacker NewsCumplimiento / Gestión de identidades Hoy en día, todas las organizaciones están expuestas a la amenaza de infracciones cibernéticas, independientemente de su escala. Históricamente, las empresas más grandes eran objetivos frecuentes debido a sus importantes recursos, datos confidenciales y responsabilidades regulatorias, mientras que las entidades más pequeñas a menudo subestimaban su atractivo para los piratas informáticos. Sin embargo, esta suposición es precaria, ya que los ciberdelincuentes con frecuencia explotan las vulnerabilidades percibidas en las empresas más pequeñas para obtener ganancias convenientes. Las organizaciones pequeñas y medianas a menudo carecen de los recursos y la experiencia para una gestión sólida de identidades privilegiadas. Sin embargo, cada vez más requieren soluciones PAM. Afortunadamente, el mercado ahora ofrece numerosos proveedores que se especializan en estas necesidades. Al reconocer la demanda de soluciones accesibles, estos proveedores brindan opciones asequibles adaptadas a las organizaciones que buscan cumplir con estrictos estándares de cumplimiento o mejorar las prácticas de seguridad, que requieren una instalación y un mantenimiento mínimos para obtener controles de acceso completos. Para mejorar la conciencia sobre las amenazas, muchas organizaciones capacitan a los empleados para identificar ataques de phishing. Extender este enfoque proactivo para proteger los activos corporativos es esencial. Una herramienta PAM defiende contra amenazas tanto internas como externas. A pesar de las preocupaciones sobre el fomento de una cultura de vigilancia, el objetivo principal es la protección. Implementar una solución PAM demuestra confianza en su equipo de TI, proporcionando una red de seguridad para exonerarlos de sospecha en caso de actividades cuestionables, demostrando que las acciones no fueron maliciosas ni propias. ¿Qué ofrece una solución PAM a las organizaciones de tamaño pequeño a mediano? Las siguientes son las funciones de ciberseguridad que ofrece una solución PAM: Gestión de credenciales para proteger el almacenamiento y la gestión de credenciales privilegiadas, evitando el uso compartido inseguro y el acceso no autorizado. Integración perfecta: simplicidad, seguridad y cumplimiento sin esfuerzo. Protección integral para controlar el acceso a sistemas críticos e información confidencial, reduciendo el riesgo de acceso no autorizado. El cumplimiento normativo ofrece los controles y registros de auditoría necesarios para el acceso privilegiado, lo que ayuda a cumplir con requisitos estrictos como GDPR, HIPAA o PCI DSS. Mitigación de amenazas internas para minimizar el riesgo de abuso interno o robo de datos. ¿Cómo pueden las organizaciones de tamaño pequeño a mediano simplificar la implementación y la gestión de una solución PAM? Las organizaciones de tamaño pequeño a mediano no necesitan toda la configuración compleja y enrevesada que requiere una solución PAM tradicional. Por eso, One Identity desarrolló una solución PAM que se adapta específicamente a las organizaciones de tamaño pequeño a mediano, permitiendo que las empresas de cualquier tamaño utilicen la supervisión y grabación de sesiones, registrando todas las actividades realizadas con cuentas privilegiadas para facilitar el análisis forense durante incidentes de seguridad. Ofrecer una solución SaaS garantiza una implementación rápida, lo que permite a las organizaciones establecer una gestión de acceso privilegiado sólida sin retrasos significativos. Además, este enfoque promueve la rentabilidad a través de un modelo basado en suscripción, lo que reduce los costos iniciales y elimina la necesidad de inversiones sustanciales en hardware o personal dedicado. Conclusión Implementar una solución PAM para empresas de tamaño pequeño a mediano ahora es sencillo. Con opciones accesibles, asequibles y escalables disponibles, las organizaciones pueden proteger los activos críticos de las amenazas externas y los riesgos internos de manera eficaz. Al adoptar medidas de seguridad proactivas y tecnologías PAM modernas, estas empresas pueden garantizar la protección de datos, el cumplimiento normativo y la continuidad operativa sin una complejidad indebida ni una presión de recursos. ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Página 1 de 23

Funciona con WordPress & Tema de Anders Norén