02 de octubre de 2024Ravie LakshmananCiberespionaje/seguridad en la nube Un actor de amenazas previamente indocumentado llamado CeranaKeeper ha sido vinculado a una serie de ataques de exfiltración de datos dirigidos al sudeste asiático. La empresa eslovaca de ciberseguridad ESET, que observó campañas dirigidas a instituciones gubernamentales en Tailandia a partir de 2023, atribuyó el grupo de actividades a estar alineado con China, aprovechando herramientas previamente identificadas como utilizadas por el actor Mustang Panda. “El grupo actualiza constantemente su puerta trasera para evadir la detección y diversifica sus métodos para ayudar a la filtración masiva de datos”, dijo el investigador de seguridad Romain Dumont en un análisis publicado hoy. “CeranaKeeper abusa de servicios populares y legítimos de intercambio de archivos y en la nube, como Dropbox y OneDrive, para implementar puertas traseras personalizadas y herramientas de extracción”. Algunos de los otros países objetivo del adversario incluyen Myanmar, Filipinas, Japón y Taiwán, todos los cuales han sido objetivo de actores de amenazas patrocinados por el Estado chino en los últimos años. ESET describió a CeranaKeeper como implacable, creativo y capaz de adaptar rápidamente su modus operandi, al mismo tiempo que lo llamó agresivo y codicioso por su capacidad para moverse lateralmente a través de entornos comprometidos y aspirar tanta información como sea posible a través de varias puertas traseras y herramientas de exfiltración. “Su uso extensivo de expresiones comodín para atravesar, a veces, unidades enteras mostró claramente que su objetivo era el desvío masivo de datos”, dijo la compañía. Aún se desconocen las rutas de acceso iniciales exactas empleadas por el actor de amenazas. Sin embargo, se abusa de un punto de apoyo inicial exitoso para obtener acceso a otras máquinas en la red local, incluso convirtiendo algunas de las máquinas comprometidas en servidores proxy o servidores de actualización para almacenar actualizaciones para su puerta trasera. Los ataques se caracterizan por el uso de familias de malware como TONESHELL, TONEINS y PUBLOAD, todos atribuidos al grupo Mustang Panda, y al mismo tiempo hacen uso de un arsenal de herramientas nunca antes vistas para ayudar a la filtración de datos. “Después de obtener acceso privilegiado, los atacantes instalaron la puerta trasera TONESHELL, implementaron una herramienta para deshacerse de las credenciales y utilizaron un controlador Avast legítimo y una aplicación personalizada para desactivar los productos de seguridad en la máquina”, dijo Dumont. “Desde este servidor comprometido, utilizaron una consola de administración remota para implementar y ejecutar su puerta trasera en otras computadoras de la red. Además, CeranaKeeper usó el servidor comprometido para almacenar actualizaciones para TONESHELL, convirtiéndolo en un servidor de actualizaciones”. El conjunto de herramientas personalizado recién descubierto es el siguiente: WavyExfiller: un cargador de Python que recopila datos, incluidos dispositivos conectados como USB y discos duros, y utiliza Dropbox y PixelDrain como puntos finales de exfiltración. DropboxFlop: un DropboxFlop de Python que es una variante de un shell inverso disponible públicamente. llamado DropFlop que viene con funciones de carga y descarga y utiliza Dropbox como servidor de comando y control (C&C) BingoShell: una puerta trasera de Python que abusa de la solicitud de extracción de GitHub y emite funciones de comentarios para crear un shell inverso sigiloso “Desde un punto de alto nivel de vista, [BingoShell] aprovecha un repositorio privado de GitHub como servidor C&C”, explicó ESET. “El script utiliza un token codificado para autenticar y las solicitudes de extracción y emite funciones de comentarios para recibir comandos para ejecutar y enviar los resultados”. Destacando la capacidad de CeranaKeeper para escribir y reescribir rápidamente su conjunto de herramientas según sea necesario para evadir la detección, la compañía dijo que el objetivo final del actor de amenazas es desarrollar malware a medida que pueda permitirle recopilar información valiosa a gran escala “Mustang Panda y CeranaKeeper parecen operar de forma independiente el uno del otro. , y cada uno tiene su propio conjunto de herramientas”, dijo. “Ambos actores de amenazas pueden depender del mismo tercero, como un intendente digital, lo cual no es infrecuente entre los grupos alineados con China, o tener algún nivel de intercambio de información, lo que explique los enlaces que se han observado.” ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Tag: Seguridad de la red Page 2 of 64
02 de octubre de 2024Ravie LakshmananVulnerabilidad/seguridad de red Se han descubierto poco más de una docena de nuevas vulnerabilidades de seguridad en enrutadores residenciales y empresariales fabricados por DrayTek que podrían explotarse para controlar dispositivos susceptibles. “Estas vulnerabilidades podrían permitir a los atacantes tomar el control de un enrutador inyectando código malicioso, permitiéndoles persistir en el dispositivo y usarlo como puerta de entrada a las redes empresariales”, dijo Forescout Vedere Labs en un informe técnico compartido con The Hacker News. De las 14 fallas de seguridad, dos se califican como críticas, nueve como altas y tres como de gravedad media. La más crítica de las deficiencias es una falla a la que se le ha otorgado la puntuación máxima CVSS de 10,0. Se trata de un error de desbordamiento del búfer en la función “GetCGI()” en la interfaz de usuario web que podría provocar una denegación de servicio (DoS) o una ejecución remota de código (RCE) al procesar los parámetros de la cadena de consulta. Otra vulnerabilidad crítica se relaciona con un caso de inyección de comandos del sistema operativo (SO) en el binario “recvCmd” utilizado para las comunicaciones entre el sistema operativo host y el invitado. Las 12 fallas restantes se enumeran a continuación: Uso de las mismas credenciales de administrador en todo el sistema, lo que resulta en un compromiso total del sistema (puntuación CVSS: 7,5) Una vulnerabilidad de secuencias de comandos entre sitios (XSS) reflejada en la interfaz de usuario web (puntuación CVSS: 7,5) Una vulnerabilidad XSS almacenada en la interfaz de usuario web al configurar un mensaje de saludo personalizado después de iniciar sesión (puntuación CVSS: 4,9) Una vulnerabilidad XSS almacenada en la interfaz de usuario web al configurar un nombre de enrutador personalizado para mostrar a los usuarios (puntuación CVSS: 4,9) Un reflejo Vulnerabilidad XSS en la página de inicio de sesión de la interfaz de usuario web (puntuación CVSS: 4,9) Vulnerabilidades de desbordamiento de búfer en las páginas CGI de la interfaz de usuario web “/cgi-bin/v2x00.cgi” y “/cgi-bin/cgiwcg.cgi” que conducen a DoS o RCE ( Puntuación CVSS: 7.2) Vulnerabilidades de desbordamiento de búfer en las páginas CGI de la interfaz de usuario web que conducen a DoS o RCE (puntuación CVSS: 7.2) Una vulnerabilidad de desbordamiento de búfer de pila en la página “/cgi-bin/ipfedr.cgi” de la interfaz de usuario web que conduce a DoS o RCE (Puntuación CVSS: 7,2) Múltiples vulnerabilidades de desbordamiento de búfer en la interfaz de usuario web que conducen a DoS o RCE (puntuación CVSS: 7,2) Una vulnerabilidad de desbordamiento de búfer basada en montón en la función ft_payloads_dns() de la interfaz de usuario web que conduce a DoS (puntuación CVSS: 7,2) Vulnerabilidad de escritura fuera de límites en la interfaz de usuario web que conduce a DoS o RCE (puntuación CVSS: 7,2) Una vulnerabilidad de divulgación de información en el backend del servidor web para la interfaz de usuario web que podría permitir que un actor de amenazas realice una acción de adversario en el ataque medio (AitM) (puntuación CVSS: 7,6) El análisis de Forescout encontró que más de 704.000 enrutadores DrayTek tienen su interfaz de usuario web expuesta a Internet, lo que la convierte en una superficie rica en ataques para actores maliciosos. La mayoría de los casos expuestos se encuentran en Estados Unidos, seguidos de Vietnam, Países Bajos, Taiwán y Australia. Luego de una divulgación responsable, DrayTek lanzó parches para todas las fallas identificadas, y la vulnerabilidad con calificación máxima también se abordó en 11 modelos de fin de vida útil (EoL). “La protección completa contra las nuevas vulnerabilidades requiere parchear los dispositivos que ejecutan el software afectado”, dijo Forescout. “Si el acceso remoto está habilitado en su enrutador, desactívelo si no es necesario. Utilice una lista de control de acceso (ACL) y autenticación de dos factores (2FA) si es posible”. El desarrollo se produce cuando las agencias de ciberseguridad de Australia, Canadá, Alemania, Japón, los Países Bajos, Nueva Zelanda, Corea del Sur, el Reino Unido y los EE. UU. emitieron una guía conjunta para las organizaciones de infraestructura crítica para ayudar a mantener un entorno de tecnología operativa (OT) seguro. . El documento, titulado “Principios de ciberseguridad de la tecnología operativa”, describe seis reglas fundamentales: La seguridad es primordial El conocimiento del negocio es crucial Los datos de OT son extremadamente valiosos y deben protegerse Segmentar y separar OT de todas las demás redes La cadena de suministro debe ser segura Las personas son esenciales para la ciberseguridad de OT “Filtrar rápidamente las decisiones para identificar aquellas que impactan la seguridad de OT mejorará la toma de decisiones sólidas, informadas e integrales que promuevan la seguridad y la continuidad del negocio al diseñar, implementar y gestionar entornos de OT. ” dijeron las agencias. ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
02 de octubre de 2024Ravie LakshmananVulnerabilidad/violación de datos Los investigadores de ciberseguridad han revelado que el 5% de todas las tiendas de Adobe Commerce y Magento han sido pirateadas por actores maliciosos al explotar una vulnerabilidad de seguridad denominada CosmicSting. Registrada como CVE-2024-34102 (puntuación CVSS: 9,8), la falla crítica se relaciona con una restricción inadecuada de la vulnerabilidad de referencia de entidad externa XML (XXE) que podría resultar en la ejecución remota de código. La deficiencia, atribuida a un investigador llamado “spacewasp”, fue reparada por Adobe en junio de 2024. La empresa de seguridad holandesa Sansec, que describió CosmicSting como el “peor error que ha afectado a las tiendas Magento y Adobe Commerce en dos años”, dijo el e- Los sitios comerciales se ven comprometidos a un ritmo de tres a cinco por hora. Desde entonces, la falla ha sido objeto de una explotación generalizada, lo que llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregarla al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) a mediados de julio de 2024. Algunos de estos ataques implican convertir la falla en un arma para robar el secreto de Magento. clave de cifrado, que luego se utiliza para generar tokens web JSON (JWT) con acceso completo a la API administrativa. Luego se ha observado que los actores de amenazas aprovechan la API REST de Magento para inyectar scripts maliciosos. Esto también significa que aplicar la última solución por sí sola no es suficiente para protegerse contra el ataque, lo que requiere que los propietarios del sitio tomen medidas para rotar las claves de cifrado. Los ataques posteriores observados en agosto de 2024 han encadenado CosmicSting con CNEXT (CVE-2024-2961), una vulnerabilidad en la biblioteca iconv dentro de la biblioteca GNU C (también conocida como glibc), para lograr la ejecución remota de código. “CosmicSting (CVE-2024-34102) permite la lectura arbitraria de archivos en sistemas sin parches. Cuando se combina con CNEXT (CVE-2024-2961), los actores de amenazas pueden escalar a la ejecución remota de código, apoderándose de todo el sistema”, señaló Sansec. El objetivo final de los compromisos es establecer un acceso persistente y encubierto al host a través de GSocket e insertar scripts maliciosos que permitan la ejecución de JavaScript arbitrario recibido del atacante para robar datos de pago ingresados por los usuarios en los sitios. Los últimos hallazgos muestran que varias empresas, incluidas Ray Ban, National Geographic, Cisco, Whirlpool y Segway, han sido víctimas de ataques CosmicSting, y al menos siete grupos distintos participan en los esfuerzos de explotación: Group Bobry, que utiliza codificación de espacios en blanco para ocultar código que ejecuta un skimmer de pago alojado en un servidor remoto Grupo Polyovki, que utiliza una inyección de cdnstatics.net/lib.js Grupo Surki, que utiliza codificación XOR para ocultar código JavaScript Grupo Burunduki, que accede a un código de skimmer dinámico desde un WebSocket en wss://jgueurystatic[.]xyz:8101 Group Ondatry, que utiliza malware de carga de JavaScript personalizado para inyectar formularios de pago falsos que imitan los legítimos utilizados por los sitios comerciales Group Khomyaki, que filtra información de pago a dominios que incluyen un URI de 2 caracteres (“rextension[.]net/za/”) Group Belki, que utiliza CosmicSting con CNEXT para instalar puertas traseras y malware skimmer. “Se recomienda encarecidamente a los comerciantes que actualicen a la última versión de Magento o Adobe Commerce”, dijo Sansec. “También deben rotar las claves de cifrado secretas, y asegúrese de que las claves antiguas estén invalidadas”. ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
02 de octubre de 2024Ravie LakshmananCyber Threat/Malware Tres organizaciones diferentes en los EE. UU. fueron atacadas en agosto de 2024 por un actor de amenazas patrocinado por el estado de Corea del Norte llamado Andariel como parte de un ataque probablemente motivado por motivos financieros. “Si bien los atacantes no lograron implementar ransomware en las redes de ninguna de las organizaciones afectadas, es probable que los ataques tuvieran una motivación financiera”, dijo Symantec, parte de Broadcom, en un informe compartido con The Hacker News. Andariel es un actor de amenazas que se considera un subgrupo dentro del infame Grupo Lazarus. También se le rastrea como APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (anteriormente Plutonium), Operation Troy, Silent Chollima y Stonefly. Ha estado activo desde al menos 2009. Un elemento dentro de la Oficina General de Reconocimiento (RGB) de Corea del Norte, el equipo de hackers tiene un historial de implementación de cepas de ransomware como SHATTEREDGLASS y Maui, al mismo tiempo que desarrolla un arsenal de puertas traseras personalizadas como Dtrack (también conocido como Valefor y Preft), TigerRAT, Black RAT (también conocido como ValidAlpha), Dora RAT y LightHand. Algunas de las otras herramientas menos conocidas utilizadas por el actor de amenazas incluyen un limpiador de datos con nombre en código Jokra y un implante avanzado llamado Prioxer que permite intercambiar comandos y datos con un servidor de comando y control (C2). En julio de 2024, un operativo de inteligencia militar norcoreano del grupo Andariel fue acusado por el Departamento de Justicia (DoJ) de EE. UU. de supuestamente llevar a cabo ataques de ransomware contra instalaciones de salud en el país y utilizar los fondos mal habidos para realizar intrusiones adicionales en entidades de defensa, tecnología y gobierno en todo el mundo. El último conjunto de ataques se caracteriza por el despliegue de Dtrack, así como de otra puerta trasera llamada Nukebot, que viene con capacidades para ejecutar comandos, descargar y cargar archivos y tomar capturas de pantalla. “Nukebot no se ha asociado con Stonefly antes; sin embargo, su código fuente se filtró y es probable que así sea como Stonefly obtuvo la herramienta”, dijo Symantec. El método exacto por el cual se abstuvo el acceso inicial no está claro, aunque Andariel tiene la costumbre de explotar fallas de seguridad conocidas del día N en aplicaciones conectadas a Internet para violar las redes de destino. Algunos de los otros programas utilizados en las intrusiones son Mimikatz, Sliver, Chisel, PuTTY, Plink, Snap2HTML y FastReverseProxy (FRP), todos los cuales son de código abierto o están disponibles públicamente. También se ha observado que los atacantes utilizan un certificado no válido que se hace pasar por el software de Tableau para firmar algunas de las herramientas, una táctica previamente revelada por Microsoft. Si bien Andariel ha visto su enfoque cambiar a operaciones de espionaje desde 2019, Symantec dijo que su giro hacia ataques con motivación financiera es un desarrollo relativamente reciente, que ha continuado a pesar de las acciones del gobierno de EE. UU. “Es probable que el grupo siga intentando organizar ataques de extorsión contra organizaciones en Estados Unidos”, añadió. El desarrollo se produce cuando Der Spiegel informó que el fabricante alemán de sistemas de defensa Diehl Defense fue comprometido por un actor respaldado por el estado de Corea del Norte conocido como Kimsuky en un sofisticado ataque de phishing que implicó el envío de ofertas de trabajo falsas de contratistas de defensa estadounidenses. ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
02 de octubre de 2024The Hacker NewsAtaque a la cadena de suministro / Criptomoneda Se ha descubierto un nuevo conjunto de paquetes maliciosos en el repositorio Python Package Index (PyPI) que se hacían pasar por servicios de administración y recuperación de billeteras de criptomonedas, solo para desviar datos confidenciales y facilitar el robo. de valiosos activos digitales. “El ataque se dirigió a los usuarios de Atomic, Trust Wallet, Metamask, Ronin, TronLink, Exodus y otras carteras destacadas en el ecosistema criptográfico”, dijo el investigador de Checkmarx, Yehuda Gelb, en un análisis del martes. “Al presentarse como utilidades para extraer frases mnemotécnicas y descifrar datos de billeteras, estos paquetes parecieron ofrecer una funcionalidad valiosa para los usuarios de criptomonedas involucrados en la recuperación o administración de billeteras”. Sin embargo, albergan funciones para robar claves privadas, frases mnemotécnicas y otros datos confidenciales de la billetera, como historiales de transacciones o saldos de billetera. Cada uno de los paquetes atrajo cientos de descargas antes de ser eliminado: Checkmarx dijo que los paquetes fueron nombrados así en un intento deliberado de atraer a los desarrolladores que trabajan en el ecosistema de las criptomonedas. En un nuevo intento de dar legitimidad a las bibliotecas, las descripciones de los paquetes en PyPI incluían instrucciones de instalación, ejemplos de uso y, en un caso, incluso “mejores prácticas” para entornos virtuales. El engaño no terminó ahí, ya que el actor de amenazas detrás de la campaña también logró mostrar estadísticas de descarga falsas, dando a los usuarios la impresión de que los paquetes eran populares y confiables. Seis de los paquetes PyPI identificados incluían una dependencia llamada cipherbcryptors para ejecutar el malware, mientras que algunos otros dependían de un paquete adicional llamado ccl_leveldbases en un aparente esfuerzo por ofuscar la funcionalidad. Un aspecto notable de los paquetes es que la funcionalidad maliciosa se activa solo cuando se llaman ciertas funciones, lo que marca una dentadura del patrón típico en el que dicho comportamiento se activaría automáticamente tras la instalación. Los datos capturados luego se extraen a un servidor remoto. “El atacante empleó una capa adicional de seguridad al no codificar la dirección de su servidor de comando y control dentro de ninguno de los paquetes”, dijo Gelb. “En cambio, utilizaron recursos externos para recuperar esta información de forma dinámica”. Esta técnica, llamada resolución de caída muerta, brinda a los atacantes la flexibilidad de actualizar la información del servidor sin tener que enviar una actualización a los paquetes mismos. También facilita el proceso de cambio a una infraestructura diferente en caso de que se desconecten los servidores. “El ataque explota la confianza en las comunidades de código abierto y la aparente utilidad de las herramientas de gestión de billeteras, afectando potencialmente a un amplio espectro de usuarios de criptomonedas”, dijo Gelb. “La complejidad del ataque (desde su envoltorio engañoso hasta sus capacidades maliciosas dinámicas y el uso de dependencias maliciosas) resalta la importancia de medidas de seguridad integrales y un monitoreo continuo”. El desarrollo es solo el último de una serie de campañas maliciosas dirigidas al sector de las criptomonedas, con actores de amenazas constantemente buscando nuevas formas de drenar fondos de las billeteras de las víctimas. En agosto de 2024, surgieron detalles de una sofisticada operación de estafa de criptomonedas denominada CryptoCore que implica el uso de videos falsos o cuentas secuestradas en plataformas de redes sociales como Facebook, Twitch, X y YouTube para atraer a los usuarios a deshacerse de sus activos de criptomonedas con el pretexto de una rápida y ganancias fáciles. “Este grupo estafador y sus campañas de obsequios aprovechan la tecnología deepfake, cuentas de YouTube secuestradas y sitios web diseñados profesionalmente para engañar a los usuarios y enviar sus criptomonedas a las billeteras de los estafadores”, dijo el investigador de Avast Martin Chlumecký. “El método más común es convencer a una víctima potencial de que los mensajes o eventos publicados en línea son comunicaciones oficiales de una cuenta de red social o página de evento confiable, aprovechando así la confianza asociada con la marca, persona o evento elegido”. Luego, la semana pasada, Check Point arrojó luz sobre una aplicación fraudulenta de Android que se hacía pasar por el protocolo legítimo de código abierto WalletConnect para robar aproximadamente $70,000 en criptomonedas al iniciar transacciones fraudulentas desde dispositivos infectados. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
02 de octubre de 2024The Hacker NewsSeguridad del correo electrónico/vulnerabilidad Los investigadores de ciberseguridad advierten sobre intentos de explotación activa dirigidos a una falla de seguridad recientemente revelada en la colaboración Zimbra de Synacor. La empresa de seguridad empresarial Proofpoint dijo que comenzó a observar la actividad a partir del 28 de septiembre de 2024. Los ataques buscan explotar CVE-2024-45519, una falla de seguridad grave en su servicio post-revista que podría permitir a atacantes no autenticados ejecutar comandos arbitrarios en las instalaciones de Zimbra afectadas. “Los correos electrónicos que falsificaban Gmail se enviaron a direcciones falsas en los campos CC en un intento de que los servidores Zimbra los analizaran y ejecutaran como comandos”, dijo Proofpoint en una serie de publicaciones en X. “Las direcciones contenían cadenas Base64 que se ejecutan con el utilidad de pescado.” Zimbra solucionó el problema crítico en las versiones 8.8.15 parche 46, 9.0.0 parche 41, 10.0.9 y 10.1.1 lanzadas el 4 de septiembre de 2024. A un investigador de seguridad llamado lebr0nli (Alan Li) se le atribuye el descubrimiento y reportar las deficiencias. “Si bien la función postdiario puede ser opcional o no estar habilitada en la mayoría de los sistemas, aún es necesario aplicar el parche proporcionado para evitar una posible explotación”, señaló Ashish Kataria, ingeniero arquitecto de seguridad de Synacor, en un comentario del 19 de septiembre de 2024. “Para los sistemas Zimbra donde la función postdiario no está habilitada y el parche no se puede aplicar inmediatamente, eliminar el binario postdiario podría considerarse como una medida temporal hasta que se pueda aplicar el parche”. Proofpoint dijo que identificó una serie de direcciones CC que, cuando se decodifican, intentan escribir un shell web en un servidor Zimbra vulnerable en la ubicación: “/jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp”. Posteriormente, el shell web instalado escucha la conexión entrante con un campo de cookie JSESSIONID predeterminado y, si está presente, procede a analizar la cookie JACTION para los comandos Base64. El web shell viene equipado con soporte para la ejecución de comandos a través de exec. Alternativamente, también puede descargar y ejecutar un archivo a través de una conexión de socket. Los ataques no se han atribuido a ningún actor o grupo de amenazas conocido al momento de escribir este artículo. Dicho esto, la actividad de explotación parece haber comenzado un día después de que Project Discovery publicara los detalles técnicos de la falla, que decía que “proviene de entradas no saneadas del usuario que se pasan a popen en la versión sin parches, lo que permite a los atacantes inyectar comandos arbitrarios”. Para la empresa de ciberseguridad, el problema tiene su origen en la forma en que el binario postjournal basado en C maneja y analiza las direcciones de correo electrónico de los destinatarios en una función llamada “msg_handler()”, permitiendo así la inyección de comandos en el servicio que se ejecuta en el puerto 10027 al pasar un mensaje SMTP especialmente diseñado. con una dirección falsa (por ejemplo, “aabbb$(curl${IFS}oast.me)”@mail.domain.com). A la luz de los intentos de explotación activos, se recomienda encarecidamente a los usuarios que apliquen los parches más recientes para una protección óptima contra amenazas potenciales. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Los actores de amenazas detrás del ladrón de información Rhadamanthys han agregado nuevas funciones avanzadas al malware, incluido el uso de inteligencia artificial (IA) para el reconocimiento óptico de caracteres (OCR) como parte de lo que se llama “reconocimiento de imágenes de frases iniciales”. “Esto permite a Rhadamanthys extraer frases iniciales de billeteras de criptomonedas a partir de imágenes, lo que lo convierte en una amenaza muy potente para cualquiera que negocie con criptomonedas”, dijo Insikt Group de Recorded Future en un análisis de la versión 0.7.0 del malware. “El malware puede reconocer imágenes de frases iniciales en el lado del cliente y enviarlas de vuelta al servidor de comando y control (C2) para su posterior explotación”. Descubierto por primera vez en la naturaleza en septiembre de 2022, Rhadamanthys se ha convertido en uno de los ladrones de información más potentes que se anuncian bajo el modelo de malware como servicio (MaaS), junto con Lumma y otros. El malware continúa teniendo una presencia activa a pesar de sufrir prohibiciones en foros clandestinos como Exploit y XSS por apuntar a entidades dentro de Rusia y la ex Unión Soviética, y su desarrollador, que se conoce con el nombre de “kingcrete” (también conocido como “kingcrete2022”), encuentra formas de comercializar las nuevas versiones en Telegram, Jabber y TOX. La empresa de ciberseguridad, que será adquirida por Mastercard por 2.650 millones de dólares, dijo que el ladrón se vende mediante suscripción por 250 dólares al mes (o 550 dólares por 90 días), lo que permite a sus clientes recopilar una amplia gama de información confidencial de los sitios comprometidos. anfitriones. Esto incluye información del sistema, credenciales, billeteras de criptomonedas, contraseñas del navegador, cookies y datos almacenados en varias aplicaciones, al mismo tiempo que se toman medidas para complicar los esfuerzos de análisis dentro de entornos aislados. La versión 0.7.0, la versión más reciente de Rhadamanthys lanzada en junio de 2024, mejora significativamente su predecesora 0.6.0, que salió en febrero de 2024. Comprende una “reescritura completa de los marcos del lado del cliente y del servidor, mejorando la estabilidad de ejecución del programa”, señaló Recorded Future. “Además, se agregaron 30 algoritmos para descifrar billeteras, gráficos con tecnología de inteligencia artificial y reconocimiento de PDF para extracción de frases. Se mejoró la capacidad de extracción de texto para identificar múltiples frases guardadas”. También se incluye una función que permite a los actores de amenazas ejecutar e instalar archivos del instalador de software de Microsoft (MSI) en un aparente esfuerzo por evadir la detección de las soluciones de seguridad instaladas en el host. Además, contiene una configuración para evitar la reejecución dentro de un período de tiempo configurable. Cadena de infección de alto nivel de Rhadamanthys Un aspecto digno de mención de Rhadamanthys es su sistema de complementos que puede aumentar sus capacidades con funciones de registrador de teclas, recortador de criptomonedas y proxy inverso. “Rhadamanthys es una opción popular para los ciberdelincuentes”, afirmó Recorded Future. “Junto con su rápido desarrollo y sus nuevas características innovadoras, es una amenaza formidable de la que todas las organizaciones deberían ser conscientes”. El desarrollo se produce cuando Mandiant, propiedad de Google, detalló el uso que hace Lumma Stealer de la dirección indirecta de flujo de control personalizado para manipular la ejecución del malware. “Esta técnica frustra todas las herramientas de análisis binario, incluidas IDA Pro y Ghidra, obstaculizando significativamente no sólo el proceso de ingeniería inversa, sino también las herramientas de automatización diseñadas para capturar artefactos de ejecución y generar detecciones”, dijeron los investigadores Nino Isakovic y Chuong Dong. También se ha descubierto que Rhadamanthys y Lumma, junto con otras familias de malware ladrón como Meduza, StealC, Vidar y WhiteSnake, han lanzado actualizaciones en las últimas semanas para recopilar cookies del navegador web Chrome, evitando de manera efectiva los mecanismos de seguridad recientemente introducidos, como el cifrado vinculado a aplicaciones. Además de eso, los desarrolladores detrás de WhiteSnake Stealer han agregado la capacidad de extraer códigos CVC de tarjetas de crédito almacenadas en Chrome, destacando la naturaleza en constante evolución del panorama del malware. Eso no es todo. Los investigadores han identificado una campaña de malware de Amadey que implementa un script AutoIt, que luego inicia el navegador de la víctima en modo quiosco para obligarla a ingresar las credenciales de su cuenta de Google. La información de inicio de sesión se almacena en el almacén de credenciales del navegador en el disco para su posterior recolección por parte de ladrones como StealC. Estas actualizaciones continuas también siguen al descubrimiento de nuevas campañas de descargas no autorizadas que generan ladrones de información al engañar a los usuarios para que copien y ejecuten manualmente el código de PowerShell para demostrar que son humanos mediante una página engañosa de verificación CAPTCHA. Como parte de la campaña, los usuarios que buscan servicios de transmisión de video en Google son redirigidos a una URL maliciosa que los insta a presionar el botón de Windows + R para iniciar el menú Ejecutar, pegar un comando PowerShell codificado y ejecutarlo, según CloudSEK, eSentire. , Unidad 42 de Palo Alto Networks y Secureworks. El ataque, que en última instancia resulta en ladrones como Lumma, StealC y Vidar, es una variante de la campaña ClickFix documentada en los últimos meses por ReliaQuest, Proofpoint, McAfee Labs y Trellix. “Este novedoso vector de ataque plantea un riesgo significativo, ya que elude los controles de seguridad del navegador al abrir un símbolo del sistema”, dijo Secureworks. “Luego se indica a la víctima que ejecute código no autorizado directamente en su host”. También se han observado campañas de phishing y publicidad maliciosa que distribuyen Atomic macOS Stealer (AMOS), Rilide, así como una nueva variante de un malware ladrón llamado Snake Keylogger (también conocido como 404 Keylogger o KrakenKeylogger). Además, los ladrones de información como Atomic, Rhadamanthys y StealC han estado en el centro de más de 30 campañas de estafa orquestadas por una banda de ciberdelincuentes conocida como Marko Polo para llevar a cabo el robo de criptomonedas en todas las plataformas haciéndose pasar por marcas legítimas en juegos en línea, reuniones virtuales y software de productividad. y criptomoneda. “Marko Polo se dirige principalmente a jugadores, personas influyentes en criptomonedas y desarrolladores de software a través de phishing en las redes sociales, destacando su enfoque en víctimas conocedoras de la tecnología”, dijo Recorded Future, y agregó que “probablemente decenas de miles de dispositivos se han visto comprometidos en todo el mundo”. ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
01 de octubre de 2024The Hacker NewsIA generativa / Protección de datos Desde su aparición, la IA generativa ha revolucionado la productividad empresarial. Las herramientas GenAI permiten un desarrollo de software, análisis financiero, planificación empresarial y participación del cliente más rápido y eficaz. Sin embargo, esta agilidad empresarial conlleva riesgos importantes, en particular la posibilidad de fuga de datos confidenciales. A medida que las organizaciones intentan equilibrar las ganancias de productividad con las preocupaciones de seguridad, muchas se han visto obligadas a elegir entre el uso ilimitado de GenAI o su prohibición total. Una nueva guía electrónica de LayerX titulada 5 medidas prácticas para prevenir la fuga de datos mediante herramientas de IA generativa está diseñada para ayudar a las organizaciones a afrontar los desafíos del uso de GenAI en el lugar de trabajo. La guía ofrece pasos prácticos para que los administradores de seguridad protejan los datos corporativos confidenciales y al mismo tiempo obtengan los beneficios de productividad de las herramientas GenAI como ChatGPT. Este enfoque pretende permitir a las empresas lograr el equilibrio adecuado entre innovación y seguridad. ¿Por qué preocuparse por ChatGPT? La guía electrónica aborda la creciente preocupación de que el uso irrestricto de GenAI pueda provocar una exposición involuntaria de los datos. Por ejemplo, como ponen de relieve incidentes como la filtración de datos de Samsung. En este caso, los empleados expusieron accidentalmente código propietario mientras usaban ChatGPT, lo que llevó a una prohibición total de las herramientas GenAI dentro de la empresa. Estos incidentes subrayan la necesidad de que las organizaciones desarrollen políticas y controles sólidos para mitigar los riesgos asociados con GenAI. Nuestra comprensión del riesgo no es sólo anecdótica. Según una investigación de LayerX Security: el 15% de los usuarios empresariales han pegado datos en herramientas GenAI. El 6% de los usuarios empresariales ha pegado datos confidenciales, como código fuente, PII o información organizacional confidencial, en herramientas GenAI. Entre el 5% de los usuarios principales de GenAI, que son los usuarios más habituales, un 50% pertenece a I+D. El código fuente es el principal tipo de datos confidenciales que quedan expuestos y representa el 31% de los datos expuestos. Pasos clave para los gerentes de seguridad ¿Qué pueden hacer los gerentes de seguridad para permitir el uso de GenAI sin exponer a la organización a riesgos de filtración de datos? Los aspectos más destacados de la guía electrónica incluyen los siguientes pasos: Mapeo del uso de la IA en la organización: comience por comprender qué necesita proteger. Mapee quién utiliza las herramientas GenAI, de qué manera, con qué fines y qué tipos de datos están expuestos. Esta será la base de una estrategia eficaz de gestión de riesgos. Restricción de cuentas personales: a continuación, aproveche la protección que ofrecen las herramientas GenAI. Las cuentas corporativas GenAI proporcionan medidas de seguridad integradas que pueden reducir significativamente el riesgo de fuga de datos confidenciales. Esto incluye restricciones sobre los datos que se utilizan con fines de capacitación, restricciones sobre la retención de datos, limitaciones para compartir cuentas, anonimización y más. Tenga en cuenta que esto requiere imponer el uso de cuentas no personales cuando se utiliza GenAI (que requiere una herramienta patentada para hacerlo). Incitar a los usuarios: como tercer paso, utilice el poder de sus propios empleados. Los simples mensajes recordatorios que aparecen al utilizar las herramientas GenAI ayudarán a crear conciencia entre los empleados sobre las posibles consecuencias de sus acciones y de las políticas organizacionales. Esto puede reducir eficazmente el comportamiento riesgoso. Bloqueo de la entrada de información confidencial: ahora es el momento de introducir tecnología avanzada. Implemente controles automatizados que restrinjan la entrada de grandes cantidades de datos confidenciales en las herramientas GenAI. Esto es especialmente efectivo para evitar que los empleados compartan código fuente, información del cliente, PII, datos financieros y más. Restricción de las extensiones del navegador GenAI: finalmente, evite el riesgo de las extensiones del navegador. Administre y clasifique automáticamente las extensiones del navegador de IA según el riesgo para evitar su acceso no autorizado a datos organizacionales confidenciales. Para disfrutar de todos los beneficios de productividad de la IA generativa, las empresas deben encontrar el equilibrio entre productividad y seguridad. Como resultado, la seguridad de GenAI no debe ser una elección binaria entre permitir toda la actividad de IA o bloquearla toda. Más bien, adoptar un enfoque más matizado y afinado permitirá a las organizaciones cosechar los beneficios empresariales, sin dejarlas expuestas. Para los gerentes de seguridad, esta es la manera de convertirse en un socio comercial y facilitador clave. Descargue la guía para aprender cómo implementar fácilmente estos pasos de inmediato. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Durante el año pasado, se encontraron más de 140.000 sitios web de phishing vinculados a una plataforma de phishing como servicio (PhaaS) llamada Sniper Dz, lo que indica que está siendo utilizada por una gran cantidad de ciberdelincuentes para llevar a cabo el robo de credenciales. “Para posibles phishers, Sniper Dz ofrece un panel de administración en línea con un catálogo de páginas de phishing”, dijeron en un informe técnico los investigadores de la Unidad 42 de Palo Alto Networks, Shehroze Farooqi, Howard Tong y Alex Starov. “Los phishing pueden alojar estas páginas de phishing en la infraestructura propiedad de Sniper Dz o descargar plantillas de phishing de Sniper Dz para alojarlas en sus propios servidores”. Quizás lo que lo hace aún más lucrativo es que estos servicios se brindan de forma gratuita. Dicho esto, las credenciales obtenidas mediante los sitios de phishing también se filtran a los operadores de la plataforma PhaaS, una técnica que Microsoft llama doble robo. Las plataformas PhaaS se han convertido en una forma cada vez más común para que los aspirantes a actores de amenazas ingresen al mundo del cibercrimen, permitiendo incluso a aquellos con poca experiencia técnica montar ataques de phishing a escala. Estos kits de phishing se pueden comprar en Telegram, con canales y grupos dedicados que atienden todos y cada uno de los aspectos de la cadena de ataque, desde los servicios de alojamiento hasta el envío de mensajes de phishing. Sniper Dz no es una excepción, ya que los actores de amenazas operan un canal de Telegram con más de 7170 suscriptores al 1 de octubre de 2024. El canal se creó el 25 de mayo de 2020. Curiosamente, un día después de que se publicara el informe de la Unidad 42, las personas detrás El canal ha habilitado la opción de eliminación automática para borrar automáticamente todas las publicaciones después de un mes. Esto probablemente sugiere un intento de ocultar rastros de su actividad, aunque los mensajes anteriores permanecen intactos en el historial de chat. Se puede acceder a la plataforma PhaaS en clearnet y requiere registrar una cuenta para “obtener sus estafas y herramientas de piratería”, según la página de inicio del sitio web. Un vídeo subido a Vimeo en enero de 2021 muestra que el servicio ofrece plantillas fraudulentas listas para usar para varios sitios en línea como X, Facebook, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat y PayPal en inglés, árabe y francés. idiomas. El vídeo tiene más de 67.000 visitas hasta la fecha. Hacker News también ha identificado videos tutoriales subidos a YouTube que guían a los espectadores a través de los diferentes pasos necesarios para descargar plantillas de Sniper Dz y configurar páginas de destino falsas para PUBG y Free Fire en plataformas legítimas como Google Blogger. Sin embargo, no está claro si tienen alguna conexión con los desarrolladores de Sniper Dz o si son simplemente clientes del servicio. Sniper Dz tiene la capacidad de alojar páginas de phishing en su propia infraestructura y proporcionar enlaces personalizados que apunten a esas páginas. Luego, estos sitios se ocultan detrás de un servidor proxy legítimo (proxymesh[.]com) para evitar la detección. “El grupo detrás de Sniper Dz configura este servidor proxy para cargar automáticamente contenido de phishing desde su propio servidor sin comunicaciones directas”, dijeron los investigadores. “Esta técnica puede ayudar a Sniper Dz a proteger sus servidores backend, ya que el navegador de la víctima o un rastreador de seguridad considerará que el servidor proxy es responsable de cargar la carga útil de phishing”. La otra opción para los ciberdelincuentes es descargar plantillas de páginas de phishing sin conexión como archivos HTML y alojarlas en sus propios servidores. Además, Sniper Dz ofrece herramientas adicionales para convertir plantillas de phishing al formato de Blogger que luego podrían alojarse en dominios de Blogspot. Las credenciales robadas finalmente se muestran en un panel de administración al que se puede acceder iniciando sesión en el sitio clearnet. La Unidad 42 dijo que observó un aumento en la actividad de phishing utilizando Sniper Dz, dirigida principalmente a usuarios web en los EE. UU., a partir de julio de 2024. “Las páginas de phishing de Sniper Dz extraen las credenciales de las víctimas y las rastrean a través de una infraestructura centralizada”, dijeron los investigadores. “Esto podría ayudar a Sniper Dz a recopilar las credenciales de las víctimas robadas por phishers que utilizan su plataforma PhaaS”. El desarrollo se produce cuando Cisco Talos reveló que los atacantes están abusando de las páginas web conectadas a la infraestructura SMTP backend, como páginas de formularios de creación de cuentas y otras que envían un correo electrónico al usuario, para evitar los filtros de spam y distribuir correos electrónicos de phishing. Estos ataques aprovechan la mala validación y desinfección de las entradas que prevalecen en estos formularios web para incluir enlaces y texto maliciosos. Otras campañas llevan a cabo ataques de relleno de credenciales contra servidores de correo de organizaciones legítimas para obtener acceso a cuentas de correo electrónico y enviar spam. “Muchos sitios web permiten a los usuarios registrarse para obtener una cuenta e iniciar sesión para acceder a funciones o contenidos específicos”, dijo el investigador de Talos, Jaeson Schultz. “Por lo general, tras el registro exitoso del usuario, se envía un correo electrónico al usuario para confirmar la cuenta”. “En este caso, los spammers han sobrecargado el campo del nombre con texto y un enlace, que desafortunadamente no está validado ni desinfectado de ninguna manera. El correo electrónico resultante a la víctima contiene el enlace del spammer”. También sigue al descubrimiento de una nueva campaña de phishing por correo electrónico que aprovecha un documento aparentemente inofensivo de Microsoft Excel para propagar una variante sin archivos de Remcos RAT explotando una falla de seguridad conocida (CVE-2017-0199). “Al abrir el [Excel] “, los objetos OLE se utilizan para desencadenar la descarga y ejecución de una aplicación HTA maliciosa”, dijo el investigador de Trellix Trishaan Kalra. “Esta aplicación HTA lanza posteriormente una cadena de comandos PowerShell que culminan en la inyección de un Remcos RAT sin archivos en un sistema operativo Windows legítimo”. proceso.” ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Los investigadores de ciberseguridad han descubierto una nueva campaña de criptojacking dirigida a la API de Docker Engine con el objetivo de cooptar las instancias para unirse a un Docker Swarm malicioso controlado por el actor de amenazas. Esto permitió a los atacantes “utilizar las funciones de orquestación de Docker Swarm con fines de comando y control (C2)”, dijeron en un análisis los investigadores de Datadog Matt Muir y Andy Giron. Los ataques aprovechan Docker para obtener acceso inicial para implementar un minero de criptomonedas en contenedores comprometidos, al mismo tiempo que obtienen y ejecutan cargas útiles adicionales que son responsables de realizar el movimiento lateral a hosts relacionados que ejecutan Docker, Kubernetes o SSH. Específicamente, esto implica identificar puntos finales de Docker API expuestos y no autenticados utilizando herramientas de escaneo de Internet, como Masscan y ZGrab. En puntos finales vulnerables, la API de Docker se utiliza para generar un contenedor Alpine y luego recuperar un script de shell de inicialización (init.sh) desde un servidor remoto (“solscan[.]live”) que, a su vez, comprueba si se está ejecutando como usuario root y que herramientas como curl y wget están instaladas antes de descargar el minero XMRig. Al igual que otras campañas de criptojacking, utiliza el rootkit libprocesshider para ocultar el proceso minero malicioso del usuario cuando ejecuta herramientas de enumeración de procesos como top y ps. El script de shell también está diseñado para recuperar otros tres scripts de shell (kube.lateral.sh, spread_docker_local.sh y spread_ssh.sh) del mismo servidor para su movimiento lateral a Docker, Kubernetes. y puntos finales SSH en la red. Spread_docker_local.sh “usa masscan y zgrab para escanear los mismos rangos de LAN. […] para nodos con los puertos 2375, 2376, 2377, 4244 y 4243 abiertos”, dijeron los investigadores. “Estos puertos están asociados con Docker Engine o Docker Swarm”. “Para cualquier IP descubierta con los puertos de destino abiertos, el malware intenta genera un nuevo contenedor con el nombre alpino. Este contenedor se basa en una imagen llamada upspin, alojada en Docker Hub por el usuario nmlmweb3”. La imagen upspin está diseñada para ejecutar el script init.sh antes mencionado, permitiendo así que el malware del grupo se propague en forma de gusano a otros Docker. hosts Además, la etiqueta de imagen de Docker que se utiliza para recuperar la imagen de Docker Hub se especifica en un archivo de texto alojado en el servidor C2, lo que permite a los actores de amenazas recuperarse fácilmente de posibles eliminaciones simplemente cambiando el contenido del archivo para que apunte. una imagen de contenedor diferente. El tercer script de shell, spread_ssh.sh, es capaz de comprometer servidores SSH, además de agregar una clave SSH y un nuevo usuario llamado ftp que permite a los actores de amenazas conectarse de forma remota a los hosts y mantener un acceso persistente. También busca varios archivos de credenciales relacionados con SSH, Amazon Web Services (AWS), Google Cloud y Samba en rutas de archivos codificadas dentro del entorno de GitHub Codespaces (es decir, el directorio “/home/codespace/”), y si encontrados, los sube al servidor C2. En la etapa final, las cargas útiles de movimiento lateral de Kubernetes y SSH ejecutan otro script de shell llamado setup_mr.sh que recupera e inicia el minero de criptomonedas. Datadog dijo que también descubrió otros tres scripts alojados en el servidor C2: ar.sh, una variante de init.sh que modifica las reglas de iptables y borra registros y trabajos cron para evadir la detección. TDGINIT.sh, que descarga herramientas de escaneo y suelta un contenedor malicioso. en cada host Docker identificado, pdflushs.sh, que instala una puerta trasera persistente agregando una clave SSH controlada por un actor de amenazas al archivo /root/.ssh/authorized_keys TDGINIT.sh también se destaca por su manipulación de Docker Swarm al forzar al host dejar cualquier Enjambre existente del que pueda formar parte y agregarlo a un nuevo Enjambre bajo el control del atacante. “Esto permite al actor de amenazas expandir su control sobre múltiples instancias de Docker de manera coordinada, convirtiendo efectivamente los sistemas comprometidos en una botnet para una mayor explotación”, dijeron los investigadores. Actualmente no está claro quién está detrás de la campaña de ataque, aunque las tácticas, técnicas y procedimientos mostrados se superponen con los de un conocido grupo de amenazas conocido como TeamTNT. “Esta campaña demuestra que servicios como Docker y Kubernetes siguen siendo fructíferos para los actores de amenazas que realizan criptojacking a escala”, dijo Datadog. “La campaña se basa en que los puntos finales de la API de Docker estén expuestos a Internet sin autenticación. La capacidad del malware para propagarse rápidamente significa que incluso si las posibilidades de acceso inicial son relativamente escasas, las recompensas son lo suficientemente altas como para mantener a los grupos de malware centrados en la nube lo suficientemente motivados para “Continuar realizando estos ataques”. El desarrollo se produce cuando Elastic Security Labs arroja luz sobre una sofisticada campaña de malware para Linux dirigida a servidores Apache vulnerables para establecer persistencia a través de GSocket e implementar familias de malware como Kaiji y RUDEDEVIL (también conocido como Lucifer) que facilitan la denegación de servicio distribuido (DDoS) y las criptomonedas. minería, respectivamente. “La campaña REF6138 involucró criptominería, ataques DDoS y posible lavado de dinero a través de API de juegos de azar, destacando el uso por parte de los atacantes de malware en evolución y canales de comunicación sigilosos”, dijeron los investigadores Remco Sprooten y Ruben Groenewoud. ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.