Etiqueta: Seguridad de la red Página 2 de 7

10 de abril de 2024Sala de prensaSeguridad de hardware/Investigadores de ciberseguridad de Linux han revelado lo que dicen es el «primer exploit nativo de Spectre v2» contra el kernel de Linux en sistemas Intel que podría explotarse para leer datos confidenciales de la memoria. El exploit, llamado Native Branch History Inyección (BHI), se puede utilizar para filtrar memoria arbitraria del kernel a 3,5 kB/seg evitando las mitigaciones existentes de Spectre v2/BHI, dijeron investigadores del Grupo de Seguridad de Redes y Sistemas (VUSec) de la Vrije Universiteit Amsterdam en un nuevo estudio. La deficiencia se rastrea como CVE-2024-2201. BHI fue divulgado por primera vez por VUSec en marzo de 2022 y lo describió como una técnica que puede sortear las protecciones Spectre v2 en procesadores modernos de Intel, AMD y Arm. Si bien el ataque aprovechó los filtros de paquetes Berkeley (eBPF) extendidos, las recomendaciones de Intel para abordar el problema, entre otras cosas, fueron desactivar los eBPF sin privilegios de Linux. «Los tiempos de ejecución administrados privilegiados que se pueden configurar para permitir que un usuario sin privilegios genere y ejecute código en un dominio privilegiado, como el ‘eBPF sin privilegios’ de Linux, aumentan significativamente el riesgo de ataques de ejecución transitoria, incluso cuando las defensas contra el modo intramodo [Branch Target Injection] están presentes», dijo Intel en ese momento. «El kernel se puede configurar para denegar el acceso a eBPF sin privilegios de forma predeterminada, al mismo tiempo que permite a los administradores habilitarlo en tiempo de ejecución cuando sea necesario». BHI nativo neutraliza esta contramedida al mostrar que BHI es posible sin eBPF. Afecta a todos los sistemas Intel que son susceptibles a BHI. Como resultado, hace posible que un atacante con acceso a los recursos de la CPU influya en rutas de ejecución especulativas a través de software malicioso instalado en una máquina con el objetivo de extraer datos confidenciales que son asociado con un proceso diferente. «Las técnicas de mitigación existentes para deshabilitar eBPF privilegiado y habilitar (Fine)IBT son insuficientes para detener la explotación de BHI contra el kernel/hipervisor», dijo el Centro de Coordinación CERT (CERT/CC) en un aviso. El atacante puede explotar esta vulnerabilidad para filtrar memoria privilegiada de la CPU saltando especulativamente a un dispositivo elegido». Se ha confirmado que la falla afecta a Illumos, Intel, Red Hat, SUSE Linux, Triton Data Center y Xen. AMD, en un boletín, dijo que está «consciente de cualquier impacto» en sus productos. La divulgación se produce semanas después de que IBM y VUSec detallaran GhostRace (CVE-2024-2193), una variante de Spectre v1 que emplea una combinación de ejecución especulativa y condiciones de carrera para filtrar datos de arquitecturas de CPU contemporáneas. También sigue una nueva investigación de ETH Zurich que reveló una familia de ataques denominados Ahoi Attacks que podrían usarse para comprometer entornos de ejecución confiables (TEE) basados ​​en hardware y romper máquinas virtuales confidenciales (CVM) como AMD Secure Encrypted Virtualization-Secure Nested Paging ( SEV-SNP) y extensiones de dominio Intel Trust (TDX). Los ataques, con nombres en código Heckler y WeSee, utilizan interrupciones maliciosas para romper la integridad de las CVM, lo que potencialmente permite a los actores de amenazas iniciar sesión de forma remota y obtener acceso elevado, así como realizar lecturas, escrituras e inyecciones de código arbitrarias para deshabilitar reglas de firewall y abra un shell raíz. «Para los ataques Ahoi, un atacante puede usar el hipervisor para inyectar interrupciones maliciosas en las vCPU de la víctima y engañarla para que ejecute los controladores de interrupciones», dijeron los investigadores. «Estos controladores de interrupciones pueden tener efectos globales (por ejemplo, cambiar el estado del registro en la aplicación) que un atacante puede activar para comprometer el CVM de la víctima». En respuesta a los hallazgos, AMD dijo que la vulnerabilidad tiene su origen en la implementación del kernel de Linux de SEV-SNP y que las correcciones que abordan algunos de los problemas se han trasladado al kernel principal de Linux. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

09 de abril de 2024Sala de prensaBotnet / Crypto Mining Se ha observado que un grupo de amenazas de presunto origen rumano llamado RUBYCARP mantiene una botnet de larga duración para llevar a cabo criptominería, denegación de servicio distribuido (DDoS) y ataques de phishing. El grupo, que se cree que ha estado activo durante al menos 10 años, emplea la botnet para obtener ganancias financieras, dijo Sysdig en un informe compartido con The Hacker News. «Su principal método de operación aprovecha una botnet implementada utilizando una variedad de exploits públicos y ataques de fuerza bruta», dijo la firma de seguridad en la nube. «Este grupo se comunica a través de redes IRC públicas y privadas». La evidencia recopilada hasta el momento sugiere que RUBYCARP puede haberse cruzado con otro grupo de amenazas rastreado por la firma albanesa de ciberseguridad Alphatechs bajo el nombre de Outlaw, que tiene un historial de realizar criptominería y ataques de fuerza bruta y desde entonces ha recurrido a campañas de phishing y Spearphishing para lanzar una amplia red. «Estos correos electrónicos de phishing a menudo atraen a las víctimas para que revelen información confidencial, como credenciales de inicio de sesión o detalles financieros», dijo el investigador de seguridad Brenton Isufi en un informe publicado a finales de diciembre de 2023. Un aspecto notable del oficio de RUBYCARP es el uso de un malware llamado ShellBot ( también conocido como PerlBot) para violar los entornos de destino. También se ha observado que explota fallas de seguridad en Laravel Framework (p. ej., CVE-2021-3129), una técnica también adoptada por otros actores de amenazas como AndroxGh0st. En una señal de que los atacantes están ampliando su arsenal de métodos de acceso inicial para ampliar la escala de la botnet, Sysdig dijo que descubrió señales de que los sitios de WordPress estaban comprometidos utilizando nombres de usuario y contraseñas de uso común. «Una vez que se obtiene el acceso, se instala una puerta trasera basada en el popular Perl ShellBot», dijo la compañía. «El servidor de la víctima se conecta entonces a un [Internet Relay Chat] servidor que actúa como comando y control y se une a la botnet más grande». Se estima que la botnet comprende más de 600 hosts, con el servidor IRC («chat.juicessh[.]pro») creado el 1 de mayo de 2023. Depende en gran medida de IRC para las comunicaciones generales, así como para administrar sus botnets y coordinar campañas de criptominería. Además, los miembros del grupo, llamados Juice_, Eugen, Catalin, MUIE y Smecher, entre otros, se comunican a través de un canal IRC de Undernet llamado #cristi. También se utiliza una herramienta de escaneo masivo para encontrar nuevos hosts potenciales. La llegada de RUBYCARP a la escena de las amenazas cibernéticas no es sorprendente dada su capacidad para aprovechar la botnet para alimentar diversos flujos de ingresos ilícitos, como criptominería y operaciones de phishing para robar números de tarjetas de crédito. Si bien parece que los datos de las tarjetas de crédito robadas se utilizan para comprar infraestructura de ataque, también existe la posibilidad de que la información pueda monetizarse a través de otros medios. «Estos actores de amenazas también están involucrados en el desarrollo y venta de armas cibernéticas, lo cual no es muy común», dijo Sysdig. «Tienen un gran arsenal de herramientas que han construido a lo largo de los años». años, lo que les da una gran flexibilidad a la hora de realizar sus operaciones. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

09 de abril de 2024Sala de prensaVulnerabilidad/Seguridad de IoT Se han revelado múltiples vulnerabilidades de seguridad en LG webOS que se ejecuta en sus televisores inteligentes que podrían explotarse para eludir la autorización y obtener acceso de root en los dispositivos. Los hallazgos provienen de la empresa rumana de ciberseguridad Bitdefender, que descubrió e informó las fallas en noviembre de 2023. LG solucionó los problemas como parte de las actualizaciones publicadas el 22 de marzo de 2024. Las vulnerabilidades se rastrean desde CVE-2023-6317 hasta CVE-2023. -6320 e impacta las siguientes versiones de webOS: webOS 4.9.7 – 5.30.40 ejecutándose en LG43UM7000PLA webOS 5.5.0 – 04.50.51 ejecutándose en OLED55CXPUA webOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50 ejecutándose en OLED48C1PUB webOS 7.3.1-43 (mullet-mebin) – 03.33.85 ejecutándose en OLED55A23LA A continuación se muestra una breve descripción de las deficiencias: CVE-2023-6317: una vulnerabilidad que permite a un atacante omitir la verificación del PIN y agregar un perfil de usuario privilegiado. al televisor sin requerir interacción del usuario CVE-2023-6318: una vulnerabilidad que permite al atacante elevar sus privilegios y obtener acceso raíz para tomar el control del dispositivo CVE-2023-6319: una vulnerabilidad que permite la inyección de comandos del sistema operativo manipulando una biblioteca llamada asm responsable de mostrar letras de música CVE-2023-6320: una vulnerabilidad que permite la inyección de comandos autenticados manipulando el punto final de la API com.webos.service.connectionmanager/tv/setVlanStaticAddress La explotación exitosa de las fallas podría permitir una amenaza actor para obtener permisos elevados para el dispositivo, que, a su vez, se puede encadenar con CVE-2023-6318 y CVE-2023-6319 para obtener acceso de root, o con CVE-2023-6320 para ejecutar comandos arbitrarios como usuario dbus. «Aunque el servicio vulnerable está destinado únicamente al acceso LAN, Shodan, el motor de búsqueda de dispositivos conectados a Internet, identificó más de 91.000 dispositivos que exponen este servicio a Internet», dijo Bitdefender. La mayoría de los dispositivos están ubicados en Corea del Sur, Hong Kong, Estados Unidos, Suecia, Finlandia y Letonia. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

08 de abril de 2024Sala de prensaCibercrimen/Seguridad de red Los cazadores de amenazas han descubierto un nuevo malware llamado Latrodectus que se ha distribuido como parte de campañas de phishing por correo electrónico desde al menos finales de noviembre de 2023. «Latrodectus es un descargador prometedor con varias evasiones de sandbox funcionalidad», dijeron investigadores de Proofpoint y Team Cymru en un análisis conjunto publicado la semana pasada, y agregaron que está diseñado para recuperar cargas útiles y ejecutar comandos arbitrarios. Hay evidencia que sugiere que el malware probablemente esté escrito por los mismos actores de amenazas detrás del malware IcedID, y que los corredores de acceso inicial (IAB) utilizan el descargador para facilitar la implementación de otro malware. Latrodectus se ha vinculado principalmente a dos IAB diferentes rastreados por Proofpoint con los nombres TA577 (también conocido como Water Curupira) y TA578, el primero de los cuales también se ha vinculado a la distribución de QakBot y PikaBot. A mediados de enero de 2024, TA578 lo ha empleado casi exclusivamente en campañas de amenazas por correo electrónico, en algunos casos entregado a través de una infección de DanaBot. TA578, que se sabe que está activo desde al menos mayo de 2020, se ha vinculado a campañas basadas en correo electrónico que entregan Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, Cobalt Strike y Bumblebee. Las cadenas de ataque aprovechan los formularios de contacto en los sitios web para enviar amenazas legales sobre supuestas infracciones de derechos de autor a las organizaciones específicas. Los enlaces incrustados en los mensajes dirigen a los destinatarios a un sitio web falso para engañarlos y descargar un archivo JavaScript que es responsable de iniciar la carga útil principal utilizando msiexec. «Latrodectus publicará información cifrada del sistema en el servidor de comando y control (C2) y solicitará la descarga del bot», dijeron los investigadores. «Una vez que el bot se registra en el C2, envía solicitudes de comandos desde el C2». También viene con capacidades para detectar si se está ejecutando en un entorno aislado al verificar si el host tiene una dirección MAC válida y si hay al menos 75 procesos en ejecución en sistemas que ejecutan Windows 10 o posterior. Como en el caso de IcedID, Latrodectus está diseñado para enviar la información de registro en una solicitud POST al servidor C2 donde los campos son parámetros HTTP unidos y cifrados, después de lo cual espera más instrucciones del servidor. Los comandos permiten que el malware enumere archivos y procesos, ejecute archivos binarios y DLL, ejecute directivas arbitrarias a través de cmd.exe, actualice el bot e incluso cierre un proceso en ejecución. Un examen más detallado de la infraestructura del atacante revela que los primeros servidores C2 cobraron vida el 18 de septiembre de 2023. Estos servidores, a su vez, están configurados para comunicarse con un servidor de nivel 2 ascendente que se configuró alrededor de agosto de 2023. Conexiones de Latrodectus a IcedID surge del hecho de que el servidor T2 «mantiene conexiones con la infraestructura backend asociada con IcedID» y el uso de jump boxes previamente asociados con las operaciones de IcedID. «Latrodectus será cada vez más utilizado por actores de amenazas con motivación financiera en todo el panorama criminal, particularmente aquellos que anteriormente distribuían IcedID», evaluó el equipo Cymru. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

08 de abril de 2024Sala de redacciónSoftware Seguridad/Ciberseguridad Google ha anunciado soporte para lo que se llama V8 Sandbox en el navegador web Chrome en un esfuerzo por abordar los problemas de corrupción de memoria. El sandbox, según el líder técnico de seguridad de V8, Samuel Groß, tiene como objetivo evitar que «la corrupción de la memoria en V8 se propague dentro del proceso del host». El gigante de las búsquedas ha descrito V8 Sandbox como un entorno de pruebas ligero y en proceso para el motor JavaScript y WebAssembly que está diseñado para mitigar las vulnerabilidades comunes de V8. La idea es limitar el impacto de las vulnerabilidades de V8 restringiendo el código ejecutado por V8 a un subconjunto del espacio de direcciones virtuales del proceso («la zona de pruebas») y aislándolo del resto del proceso. Las deficiencias que afectan a V8 representaron una parte importante de las vulnerabilidades de día cero que Google abordó entre 2021 y 2023, con hasta 16 fallas de seguridad descubiertas durante ese período. «El sandbox supone que un atacante puede modificar de forma arbitraria y simultánea cualquier memoria dentro del espacio de direcciones del sandbox, ya que esta primitiva puede construirse a partir de vulnerabilidades típicas de V8», dijo el equipo de Chromium. «Además, se supone que un atacante podrá leer la memoria fuera de la zona de pruebas, por ejemplo, a través de canales laterales del hardware. La zona de pruebas pretende entonces proteger el resto del proceso de dicho atacante. Como tal, cualquier corrupción de La memoria fuera del espacio de direcciones de la zona de pruebas se considera una infracción de la zona de pruebas». Groß enfatizó los desafíos que implica abordar las vulnerabilidades de V8 cambiando a un lenguaje seguro para la memoria como Rust o enfoques de seguridad de la memoria del hardware, como el etiquetado de la memoria, dados los «problemas lógicos sutiles» que pueden explotarse para corromper la memoria, a diferencia de los errores clásicos de seguridad de la memoria como use-after-frees, accesos fuera de límites y otros. «Casi todas las vulnerabilidades encontradas y explotadas en V8 hoy en día tienen una cosa en común: la eventual corrupción de la memoria ocurre necesariamente dentro del montón de V8 porque el compilador y el tiempo de ejecución operan (casi) exclusivamente en instancias de HeapObject de V8», dijo Groß. Dado que estos problemas no pueden protegerse con las mismas técnicas utilizadas para las vulnerabilidades típicas de corrupción de memoria, V8 Sandbox está diseñado para aislar la memoria del montón de V8 de modo que, si se produce alguna corrupción de memoria, no pueda escapar de los límites de seguridad a otras partes del proceso. memoria. Esto se logra reemplazando todos los tipos de datos que pueden acceder a la memoria fuera de la zona de pruebas con alternativas «compatibles con la zona de pruebas», evitando así de manera efectiva que un atacante acceda a otra memoria. La zona de pruebas se puede habilitar configurando «v8_enable_sandbox» en verdadero en gn args. Los resultados comparativos de Speedometer y JetStream muestran que la función de seguridad agrega una sobrecarga de aproximadamente el 1% en cargas de trabajo típicas, lo que permite habilitarla de forma predeterminada a partir de la versión 123 de Chrome, que abarca Android, ChromeOS, Linux, macOS y Windows. «El V8 Sandbox requiere un sistema de 64 bits, ya que necesita reservar una gran cantidad de espacio de direcciones virtuales, actualmente un terabyte», dijo Groß. «La zona de pruebas está motivada por el hecho de que las tecnologías actuales de seguridad de la memoria son en gran medida inaplicables para optimizar los motores JavaScript. Si bien estas tecnologías no logran prevenir la corrupción de la memoria en el propio V8, de hecho pueden proteger la superficie de ataque de la zona de pruebas V8. Por lo tanto, la zona de pruebas es necesaria paso hacia la seguridad de la memoria.» El desarrollo se produce cuando Google destacó el papel de Kernel Address Sanitizer (KASan) en la detección de errores de memoria en el código nativo y ayuda a reforzar la seguridad del firmware de Android, y agregó que utilizó la herramienta basada en compilador para descubrir más de 40 errores. «El uso de compilaciones habilitadas para KASan durante las pruebas y/o la fuzzing puede ayudar a detectar vulnerabilidades de corrupción de memoria y problemas de estabilidad antes de que lleguen a los dispositivos de los usuarios», dijeron Eugene Rodionov e Ivan Lozano del equipo de Android. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

Múltiples actores de amenazas del nexo con China han sido vinculados a la explotación de día cero de tres fallas de seguridad que afectan a los dispositivos Ivanti (CVE-2023-46805, CVE-2024-21887 y CVE-2024-21893). Mandiant realiza un seguimiento de los grupos bajo los apodos no categorizados UNC5221, UNC5266, UNC5291, UNC5325, UNC5330 y UNC5337. También anteriormente vinculado a la ola de explotación está un equipo de piratería chino llamado UNC3886, cuyo oficio se destaca por convertir errores de día cero en Fortinet y VMware como armas para violar las redes objetivo. La filial de Google Cloud dijo que también ha observado actores con motivación financiera que explotan CVE-2023-46805 y CVE-2024-21887, probablemente en un intento de realizar operaciones de minería de criptomonedas. «UNC5266 se superpone en parte con UNC3569, un actor de espionaje del nexo con China que se ha observado explotando vulnerabilidades en Aspera Faspex, Microsoft Exchange y Oracle Web Applications Desktop Integrator, entre otros, para obtener acceso inicial a los entornos de destino», dijeron los investigadores de Mandiant. El actor de amenazas ha sido vinculado a una actividad posterior a la explotación que condujo al despliegue del marco de comando y control (C2) de Sliver, una variante del ladrón de credenciales WARPWIRE y una nueva puerta trasera basada en Go denominada TERRIBLETEA que viene con la ejecución de comandos. , registro de teclas, escaneo de puertos, interacción del sistema de archivos y funciones de captura de pantalla. UNC5330, que se ha observado combinando CVE-2024-21893 y CVE-2024-21887 para violar los dispositivos Ivanti Connect Secure VPN al menos desde febrero de 2024, ha aprovechado malware personalizado como TONERJAM y PHANTOMNET para facilitar acciones posteriores al compromiso – PHANTOMNET – A puerta trasera modular que se comunica mediante un protocolo de comunicación personalizado a través de TCP y emplea un sistema basado en complementos para descargar y ejecutar cargas útiles adicionalesTONERJAM: un iniciador diseñado para descifrar y ejecutar PHANTOMNET Además de utilizar el Instrumental de administración de Windows (WMI) para realizar reconocimiento, moverse lateralmente y manipular entradas de registro y establecer persistencia, se sabe que UNC5330 compromete las cuentas de enlace LDAP configuradas en los dispositivos infectados para obtener acceso de administrador de dominio. Otro actor de espionaje notable vinculado a China es UNC5337, que se dice que se infiltró en dispositivos Ivanti ya en enero de 2024 utilizando CVE-2023-46805 y CVE-2024 para entregar un conjunto de herramientas de malware personalizado conocido como SPAWN que comprende cuatro componentes distintos que funcionan en tándem para funcionar como una puerta trasera sigilosa y persistente: SPAWNSNAIL: una puerta trasera pasiva que escucha en el host local y está equipada para iniciar un shell bash interactivo, así como para iniciar SPAWNSLOTHSPAWNMOLE: una utilidad de tunelización que es capaz de dirigir tráfico malicioso a un host específico mientras pasa datos benignos. tráfico sin modificar al servidor web Connect Secure SPAWNANT: un instalador que es responsable de garantizar la persistencia de SPAWNMOLE y SPAWNSNAIL aprovechando una función de instalación de arranque central SPAWNSLOTH: un programa de manipulación de registros que deshabilita el registro y el reenvío de registros a un servidor syslog externo cuando el implante SPAWNSNAIL está Mandiant en ejecución ha evaluado con confianza media que UNC5337 y UNC5221 son el mismo grupo de amenazas, señalando que la herramienta SPAWN está «diseñada para permitir el acceso a largo plazo y evitar la detección». UNC5221, que anteriormente se atribuía a shells web como BUSHWALK, CHAINLINE, FRAMESTING y LIGHTWIRE, también ha desatado un shell web basado en Perl denominado ROOTROT que está integrado en un archivo .ttc legítimo de Connect Secure ubicado en «/data/runtime /tmp/tt/setcookie.thtml.ttc» explotando CVE-2023-46805 y CVE-2024-21887. Una implementación exitosa del shell web es seguida por un reconocimiento de la red y un movimiento lateral, lo que en algunos casos resulta en el compromiso de un servidor vCenter en la red víctima por medio de una puerta trasera de Golang llamada BRICKSTORM. «BRICKSTORM es una puerta trasera Go dirigida a servidores VMware vCenter», explicaron los investigadores de Mandiant. «Admite la capacidad de configurarse como un servidor web, realizar manipulación de directorios y sistemas de archivos, realizar operaciones de archivos como cargar/descargar, ejecutar comandos de shell y realizar retransmisión SOCKS». El último de los cinco grupos con sede en China vinculados al abuso de las fallas de seguridad de Ivanti es UNC5291, que según Mandiant probablemente tiene asociaciones con otro grupo de piratería informática UNC3236 (también conocido como Volt Typhoon), principalmente debido a que apunta a sectores académicos, energéticos, de defensa y sectores de salud. «La actividad de este clúster comenzó en diciembre de 2023 centrándose en Citrix Netscaler ADC y luego pasó a centrarse en los dispositivos Ivanti Connect Secure después de que los detalles se hicieran públicos a mediados de enero de 2024», dijo la compañía. Los hallazgos subrayan una vez más la amenaza que enfrentan los dispositivos de punta, ya que los actores de espionaje utilizan una combinación de fallas de día cero, herramientas de código abierto y puertas traseras personalizadas para adaptar su oficio en función de sus objetivos para evadir la detección durante períodos prolongados. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

05 de abril de 2024Sala de prensaCiberespionaje/Ciberseguridad Las organizaciones financieras de Asia-Pacífico (APAC) y Medio Oriente y África del Norte (MENA) están siendo atacadas por una nueva versión de una «amenaza en evolución» llamada JSOutProx. «JSOutProx es un marco de ataque sofisticado que utiliza tanto JavaScript como .NET», dijo Resecurity en un informe técnico publicado esta semana. «Emplea la función de (des)serialización .NET para interactuar con un módulo JavaScript central que se ejecuta en la máquina de la víctima. Una vez ejecutado, el malware permite que el marco cargue varios complementos, que realizan actividades maliciosas adicionales en el objetivo». Identificados por primera vez en diciembre de 2019 por Yoroi, los primeros ataques que distribuyen JSOutProx se han atribuido a un actor de amenazas rastreado como Solar Spider. El historial de operaciones de bancos en huelga y otras grandes empresas en Asia y Europa. A finales de 2021, Quick Heal Security Labs detalló ataques que aprovechaban el troyano de acceso remoto (RAT) para identificar a empleados de pequeños bancos financieros de la India. Otras oleadas de campañas han apuntado a establecimientos gubernamentales indios ya en abril de 2020. Se sabe que las cadenas de ataques aprovechan los correos electrónicos de phishing con archivos adjuntos de JavaScript maliciosos disfrazados de archivos PDF y ZIP que contienen archivos HTA maliciosos para implementar el implante altamente ofuscado. «Este malware tiene varios complementos para realizar diversas operaciones, como la filtración de datos y la realización de operaciones del sistema de archivos», señaló Quick Heal. [PDF] En el momento. «Aparte de eso, también tiene varios métodos con capacidades ofensivas que realizan diversas operaciones». Los complementos le permiten recopilar una amplia gama de información del host comprometido, controlar la configuración del proxy, capturar el contenido del portapapeles, acceder a los detalles de la cuenta de Microsoft Outlook y recopilar contraseñas de un solo uso de Symantec VIP. Una característica única del malware es el uso del campo de encabezado Cookie para comunicaciones de comando y control (C2). JSOutProx también representa el hecho de que es un RAT completamente funcional implementado en JavaScript. «JavaScript simplemente no ofrece tanta flexibilidad como un archivo PE», dijo Fortinet FortiGuard Labs en un informe publicado en diciembre de 2020, que describe una campaña dirigida contra los sectores monetario y financiero gubernamental en Asia. «Sin embargo, como muchos sitios web utilizan JavaScript, a la mayoría de los usuarios les parece benigno, ya que a las personas con conocimientos básicos de seguridad se les enseña a evitar abrir archivos adjuntos que terminen en .exe. Además, debido a que el código JavaScript se puede ofuscar, fácilmente evita el antivirus. detección, permitiéndole filtrarse sin ser detectado». El último conjunto de ataques documentados por Resecurity implica el uso de notificaciones de pago SWIFT o MoneyGram falsas para engañar a los destinatarios de correo electrónico para que ejecuten el código malicioso. Se dice que la actividad experimentó un aumento a partir del 8 de febrero de 2024. Los artefactos se observaron alojados en los repositorios de GitHub y GitLab, que desde entonces han sido bloqueados y eliminados. «Una vez que el código malicioso se ha entregado con éxito, el actor elimina el repositorio y crea uno nuevo», dijo la empresa de ciberseguridad. «Esta táctica probablemente esté relacionada con el uso que hace el actor para gestionar múltiples cargas útiles maliciosas y diferenciar objetivos». Actualmente se desconocen los orígenes exactos del grupo de delitos electrónicos detrás del malware, aunque la distribución victimológica de los ataques y la sofisticación del implante alude a que se originaron en China o estaban afiliados a ella, postuló Resecurity. El desarrollo se produce cuando los ciberdelincuentes están promocionando en la web oscura un nuevo software llamado GEOBOX que reutiliza los dispositivos Raspberry Pi para realizar fraude y anonimización. Ofrecida por solo $ 80 por mes (o $ 700 por una licencia de por vida), la herramienta permite a los operadores falsificar ubicaciones GPS, emular configuraciones específicas de red y software, imitar configuraciones de puntos de acceso Wi-Fi conocidos y evitar filtros antifraude. . Estas herramientas podrían tener graves implicaciones para la seguridad, ya que abren la puerta a un amplio espectro de delitos como ataques patrocinados por el Estado, espionaje corporativo, operaciones en el mercado de la web oscura, fraude financiero, distribución anónima de malware e incluso acceso a contenido geocercado. «La facilidad de acceso a GEOBOX genera importantes preocupaciones dentro de la comunidad de ciberseguridad sobre su potencial para una adopción generalizada entre varios actores de amenazas», dijo Resecurity. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

05 de abril de 2024Sala de prensaMalware / Endpoint Security Se están utilizando instaladores falsos para Adobe Acrobat Reader para distribuir un nuevo malware multifuncional denominado Byakugan. El punto de partida del ataque es un archivo PDF escrito en portugués que, al abrirlo, muestra una imagen borrosa y pide a la víctima que haga clic en un enlace para descargar la aplicación Reader y ver el contenido. Según Fortinet FortiGuard Labs, al hacer clic en la URL se entrega un instalador («Reader_Install_Setup.exe») que activa la secuencia de infección. Los detalles de la campaña fueron revelados por primera vez por el Centro de Inteligencia de Seguridad de AhnLab (ASEC) el mes pasado. La cadena de ataque aprovecha técnicas como el secuestro de DLL y la omisión del control de acceso de usuarios de Windows (UAC) para cargar un archivo de biblioteca de vínculos dinámicos (DLL) malicioso llamado «BluetoothDiagnosticUtil.dll», que, a su vez, libera la carga útil final. También implementa un instalador legítimo para un lector de PDF como Wondershare PDFelement. El binario está equipado para recopilar y filtrar metadatos del sistema a un servidor de comando y control (C2) y soltar el módulo principal («chrome.exe») de un servidor diferente que también actúa como su C2 para recibir archivos y comandos. «Byakugan es un malware basado en node.js empaquetado en su ejecutable por pkg», dijo el investigador de seguridad Pei Han Liao. «Además del script principal, existen varias bibliotecas correspondientes a funciones». Esto incluye configurar la persistencia, monitorear el escritorio de la víctima usando OBS Studio, capturar capturas de pantalla, descargar mineros de criptomonedas, registrar pulsaciones de teclas, enumerar y cargar archivos y capturar datos almacenados en navegadores web. «Existe una tendencia creciente a utilizar componentes limpios y maliciosos en el malware, y Byakugan no es una excepción», dijo Fortinet. «Este enfoque aumenta la cantidad de ruido generado durante el análisis, lo que dificulta las detecciones precisas». La revelación se produce cuando ASEC reveló una nueva campaña que propaga el ladrón de información Rhadamanthys bajo la apariencia de un instalador de software colaborativo. «El actor de amenazas creó un sitio web falso para parecerse al sitio web original y lo expuso a los usuarios utilizando la función de publicidad en los motores de búsqueda», dijo la firma de ciberseguridad de Corea del Sur. «El malware que se distribuye utiliza la técnica de llamada indirecta al sistema para ocultarse de los ojos de las soluciones de seguridad». También se descubre que actores de amenazas no identificados están empleando una versión manipulada de Notepad++ para propagar el malware WikiLoader (también conocido como WailingCrab). ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

06 de abril de 2024Sala de prensaSkimmer / Threat Intelligence Se ha descubierto que los actores de amenazas explotan una falla crítica en Magento para inyectar una puerta trasera persistente en sitios web de comercio electrónico. El ataque aprovecha CVE-2024-20720 (puntuación CVSS: 9,1), que Adobe ha descrito como un caso de «neutralización inadecuada de elementos especiales» que podría allanar el camino para la ejecución de código arbitrario. La empresa lo abordó como parte de las actualizaciones de seguridad publicadas el 13 de febrero de 2024. Sansec dijo que descubrió una «plantilla de diseño inteligentemente diseñada en la base de datos» que se utiliza para inyectar automáticamente código malicioso para ejecutar comandos arbitrarios. «Los atacantes combinan el analizador de diseño de Magento con el paquete beberlei/assert (instalado por defecto) para ejecutar comandos del sistema», dijo la compañía. «Debido a que el bloque de diseño está vinculado al carrito de pago, este comando se ejecuta siempre que Se solicita /checkout/cart». El comando en cuestión es sed, que se utiliza para insertar una puerta trasera de ejecución de código que luego es responsable de entregar un skimmer de pagos de Stripe para capturar y filtrar información financiera a otra tienda Magento comprometida. El desarrollo llega como el El gobierno ruso ha acusado a seis personas por utilizar malware skimmer para robar información de pagos y tarjetas de crédito de tiendas de comercio electrónico extranjeras al menos desde finales de 2017. Los sospechosos son Denis Priymachenko, Alexander Aseyev, Alexander Basov, Dmitry Kolpakov, Vladislav Patyuk y Anton Tolmachev. Recorded Future News informó que las detenciones se realizaron hace un año, citando documentos judiciales: «Como resultado, los miembros del grupo de hackers se apoderaron ilegalmente de información sobre casi 160 mil tarjetas de pago de ciudadanos extranjeros, después de lo cual las vendieron a través de la sombra». sitios de Internet», dijo la Fiscalía General de la Federación de Rusia. ¿Le pareció interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

Los requisitos de cumplimiento están destinados a aumentar la transparencia y la rendición de cuentas en materia de ciberseguridad. A medida que aumentan las amenazas cibernéticas, también aumenta el número de marcos de cumplimiento y la especificidad de los controles, políticas y actividades de seguridad que incluyen. Para los CISO y sus equipos, eso significa que el cumplimiento es un proceso lento y de alto riesgo que exige sólidas habilidades organizativas y de comunicación, además de experiencia en seguridad. Recurrimos al grupo de expertos del CISO para conocer su opinión sobre las mejores formas de abordar los requisitos de cumplimiento de privacidad y seguridad de los datos. En este blog, comparten estrategias para reducir el dolor de lidiar con el proceso de cumplimiento, incluida la gestión de riesgos y la alineación de las partes interesadas. Siga leyendo para conocer recomendaciones para convertir el cumplimiento de un «mal necesario» en una herramienta estratégica que le ayude a evaluar el riesgo cibernético, ganar presupuesto y aceptación, y aumentar la confianza de los clientes y accionistas. ¿Qué CISO se preocupan más por el cumplimiento? La forma en que los CISO ven el cumplimiento de la ciberseguridad puede variar mucho, según el tamaño de la empresa, la geografía, el sector, la sensibilidad de los datos y el nivel de madurez del programa. Por ejemplo, si es una empresa que cotiza en bolsa en los Estados Unidos, no tendrá más remedio que cumplir con múltiples regulaciones, así como mantener evaluaciones de riesgos y planes de acciones correctivas. Si es una agencia gubernamental o vende a una, deberá cumplir con requisitos específicos del sector público. Los bancos, las organizaciones de atención médica, las infraestructuras, las empresas de comercio electrónico y otras empresas deben seguir reglas de cumplimiento específicas de la industria. Seguridad no es igual a cumplimiento. Incluso si no pertenece a ninguna de estas categorías, existen muchas razones por las que necesitará demostrar las mejores prácticas de seguridad, como buscar una certificación SOC o solicitar un seguro de ciberseguridad. Para todas las organizaciones, marcos amplios de cumplimiento de ciberseguridad como NIST CSF e ISO proporcionan modelos a seguir y estructuras para comunicar resultados. Dicho esto, «seguridad no es igual a cumplimiento» es un mantra que se escucha a menudo entre los CISO. Ciertamente, el hecho de que usted cumpla no significa que esté seguro. Las organizaciones de ciberseguridad altamente maduras pueden considerar el cumplimiento como mínimo e ir mucho más allá de los componentes requeridos para proteger sus organizaciones. El cumplimiento como facilitador del negocio Si bien un CISO puede recomendar inversiones y prácticas de ciberseguridad para cumplir con los requisitos de cumplimiento, no es quien toma las decisiones en última instancia. Por lo tanto, una responsabilidad clave de un CISO es comunicar el riesgo de incumplimiento y trabajar con otros líderes de la empresa para decidir qué iniciativas priorizar. El riesgo, en este contexto, incorpora no sólo el riesgo técnico, sino también el riesgo empresarial. A Steve Zalewski, ex CISO de Levi Strauss, le gusta utilizar la metáfora del «palo y la zanahoria». «Históricamente, la auditoría y el cumplimiento han sido el bastón que te obliga a hacer algo», comparte en el podcast Defense-in-Depth, «pero hacer [you] hacerlo no significa que la empresa esté alineada con el valor de hacerlo». Para evitar fricciones, recomienda mostrar a la gente el valor empresarial de la ciberseguridad compatible. «Tiene que haber un componente de zanahoria para hacerles sentir que tienen una elección en el asunto», dice. El liderazgo debe sopesar los costos y beneficios de garantizar el cumplimiento con los costos potenciales del incumplimiento. Digamos que una organización no cumple plenamente con las mejores prácticas de seguridad para la gestión de privilegios. Si bien el incumplimiento podría resultar En multas regulatorias y demandas de accionistas, las brechas de seguridad subyacentes podrían causar un impacto aún mayor en el negocio, incluido tiempo de inactividad, pagos de ransomware y pérdida de ingresos. Cumplir con los requisitos de cumplimiento, por otro lado, podría generar valor comercial, como ventas más rápidas. asociaciones más sólidas o tasas de seguro cibernético más bajas. Como parte de un programa integral de gestión de riesgos, las juntas directivas y el liderazgo ejecutivo deben sopesar los costos y beneficios de garantizar el cumplimiento con los costos potenciales del incumplimiento. En algunos casos, pueden decidir que un cierto nivel de riesgo es aceptable y optar por no implementar salvaguardias adicionales. En otros casos, pueden duplicar su apuesta. Cómo los CISO utilizan los marcos de cumplimiento para planificar su hoja de ruta de ciberseguridad Algunos CISO utilizan los marcos de cumplimiento como metodología para incorporar técnicas y procesos en su programa de ciberseguridad. Básicamente, informan las prioridades del programa y crean una lista de compras de soluciones imprescindibles que se alinean con el programa que están intentando crear. En el podcast Audience First, Brian Haugli, ex CISO de Fortune 500, ve una diferencia entre depender del cumplimiento y utilizar marcos de cumplimiento para guiar la gestión de riesgos informada. «No podemos ser blancos y negros. Tenemos que ser capaces de tomar decisiones basadas en el riesgo, de decir: ‘Aceptaré este riesgo porque no puedo darme el lujo de cerrarlo ahora mismo’. Pero haré estas cosas para mitigar el riesgo a un nivel lo suficientemente bajo que me permita aceptarlo». Los CISO necesitan socios para el cumplimiento. Los CISO no están solos en el barco del cumplimiento. Deben crear asociaciones con equipos legales, funcionarios de privacidad y comités de auditoría o riesgos para comprender los cambios en los requisitos de cumplimiento y decidir cómo abordarlos. A veces, estos socios internos requieren que los equipos de seguridad implementen controles más estrictos, pero también pueden tomar frenos. Como nos dijo un CISO de un proveedor de tecnología de rápido crecimiento: «Francamente, lo legal me supera todos los días de la semana. Me dicen lo que puedo y no puedo hacer. Me encantaría poder monitorear el comportamiento de todos, pero la privacidad Las leyes dicen que no puedo hacer eso». Los equipos de cumplimiento hacen muchas cosas para las que los ingenieros y analistas de seguridad no tienen tiempo ni recursos. Responsabilizan a la seguridad y verifican dos veces que los controles funcionen como se espera. Actúan como intermediarios entre los equipos de seguridad, los reguladores y los auditores para demostrar el cumplimiento, ya sea que eso signifique recopilar evidencia a través de cuestionarios de seguridad manuales o mediante integraciones tecnológicas. Por ejemplo, para una certificación del sector público, los controles de seguridad deben monitorearse, registrarse y conservarse durante al menos seis meses de datos para evidenciar que han hecho lo que dijeron que iban a hacer. Herramientas y recursos que apoyan el cumplimiento Los registros de riesgos son útiles para alinear a todas las partes interesadas al documentar todos los riesgos y organizarlos por prioridad. Si todos miran la misma información, podrán ponerse de acuerdo sobre las acciones apropiadas. Como parte de un programa de gestión de riesgos, las políticas, estándares y procedimientos se revisan periódicamente y cualquier cambio se aprueba antes de su implementación. Al utilizar herramientas como los sistemas GRC y el monitoreo continuo del cumplimiento, las organizaciones pueden realizar un seguimiento de las actividades de seguridad en curso e informar los resultados. Los sistemas GRC pueden vincularse a SIEM para recopilar registros y escáneres de vulnerabilidades que muestran que se completaron las comprobaciones. «En lugar de barajar hojas de cálculo, hemos creado varios conectores que se integran con nuestra plataforma GRC para demostrar que cumplimos», explica el CISO de tecnología. «Asignan todas las certificaciones en un solo panel, de modo que cuando llega un auditor, le mostramos una pantalla que dice: ‘Aquí está la evidencia'». Además de las herramientas, muchas empresas dependen de terceros para realizar evaluaciones de cumplimiento. Pueden realizar una auditoría de cumplimiento interna antes que una externa para asegurarse de que no haya sorpresas si los reguladores llaman. Cumplir una vez, aplicar a muchas La mayoría de las organizaciones tienen numerosos organismos de cumplimiento a los que deben responder, así como proveedores, clientes y socios de seguros cibernéticos. Si bien el cumplimiento puede ser una carga, la buena noticia es que existen técnicas para agilizar el proceso de evaluación. «Si analizamos los principales organismos de cumplimiento, aproximadamente el 80% de los requisitos son los mismos», afirma el CISO de un proveedor de SaaS. «Puedes alinearte con un marco como el NIST y aplicar las mismas prácticas en todos ellos». Por ejemplo, los requisitos de gestión de acceso privilegiado (PAM), como la gestión de contraseñas, la autenticación multifactor (MFA) y los controles de acceso basados ​​en roles, son comunes en todos los marcos de cumplimiento. Puede profundizar en los detalles para ver cómo aparece PAM en una variedad de requisitos de cumplimiento en Delinea.com. Requisitos de cumplimiento emergentes El cumplimiento es un espacio fluido con requisitos que evolucionan para abordar los patrones de riesgo y las condiciones comerciales cambiantes. Los CISO buscan orientación en los organismos de cumplimiento sobre la gestión de riesgos cibernéticos emergentes, como la Inteligencia Artificial. En el futuro, los CISO esperan que garantizar el cumplimiento se convierta en una parte aún mayor de su trabajo. A medida que la industria enfrenta amenazas cada vez mayores, el cumplimiento es una parte clave de un enfoque estratégico e integral para la gestión de riesgos de ciberseguridad. Para obtener más información sobre este tema, consulte el episodio del podcast 401 Access Denied de Delinea: Securing Compliance: Expert Insights with Steven Ursillo ¿Necesita una guía paso a paso para planificar su viaje estratégico hacia la seguridad del acceso privilegiado? Comience con una lista de verificación PAM gratuita y personalizable. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link