Etiqueta: Seguridad de la red Página 3 de 16

sep 05, 2025  La periódica del hacker Operaciones / Operaciones de seguridad Pentesting sigue siendo una de las formas más efectivas de identificar las debilidades de seguridad del mundo real antes de que los adversarios lo hagan. Pero a medida que el paisaje de amenaza ha evolucionado, la forma en que entregamos los resultados más pentest no ha mantenido el ritmo. La mayoría de las organizaciones aún dependen de los métodos de informes tradicionales: PDF estatales, documentos enviados por correo electrónico y seguimiento basado en la hoja de cálculo. El problema? Estos flujos de trabajo obsoletos introducen demoras, crean ineficiencias y socavan el valor del trabajo. Los equipos de seguridad necesitan ideas más rápidas, traspensas más estrictas y caminos más claros para la remediación. Ahí es donde entra entre la entrega automatizada. Plataformas como Plextrac automatizan la entrega de búsqueda de Pentest en tiempo real a través de flujos de trabajo sólidos basados ​​en reglas. (¡No espere el informe final!) El problema de entrega estática en un mundo dinámico que entrega un informe más pentest solo como un documento estático podría haber tenido sentido hace una década, pero hoy es un cuello de botella. Los resultados están enterrados en documentos largos que no se alinean con la forma en que los equipos operan día a día. Después de recibir el informe, las partes interesadas deben extraer hallazgos manualmente, crear boletos en plataformas como JIRA o ServiceNow, y coordinar el seguimiento de la remediación a través de flujos de trabajo desconectados. Para el momento en que comienza la remediación, pueden haber pasado días o semanas desde que se descubrieron los problemas. Por qué la automatización es importante ahora a medida que las organizaciones adoptan la gestión continua de exposición a amenazas (CTEM) y expanden la frecuencia de las pruebas ofensivas, el volumen de hallazgos crece rápidamente. Sin automatización, los equipos luchan por mantenerse al día. La administración de la entrega ayuda a reducir el ruido y entregar resultados en tiempo real para transferencias y visibilidad más rápidas en todo el ciclo de vida de vulnerabilidad. Los beneficios de la automatización de la entrega más pentest incluyen: Acción en tiempo real: Actuar sobre los hallazgos de inmediato, no después de que el informe se finalice la respuesta más rápida: Acelerar la remediación, la reestima y la validación Operaciones estandarizadas: garantizar que cada hallazgo siga un proceso consistente de trabajo menos manual: los equipos gratuitos para centrarnos en las iniciativas estratégicas mejoran los equipos enfocados en los que los equipos de los servicios de los servicios obtienen una ventaja competitiva menos manual por la entrega de la entrega y la entrega de la entrega y la integración directa en la integración de la integración directamente en el cliente. para impulsar el valor del cliente. Para las empresas, es una vía rápida para la madurez operativa y una reducción medible en el tiempo medio de remediación (MTTR). 5 Componentes clave de la ingestión de datos centralizados de entrega Pentest automatizada: comience consolidando todos los hallazgos, manuales y automatizados, en una sola fuente de verdad. Esto incluye salidas de escáneres (como Tenable, Qualys, Wiz, Snyk), así como los hallazgos manuales de Pentest. Sin centralización, la gestión de vulnerabilidad se convierte en un mosaico de herramientas desconectadas y procesos manuales. Entrega automatizada en tiempo real: a medida que se identifican los hallazgos, deben enrutarse automáticamente a las personas y flujos de trabajo adecuados sin esperar el informe completo. Los conjuntos de reglas predefinidos deben activar el triaje, la venta de boletos y el seguimiento para permitir que comience la remediación mientras las pruebas aún están en progreso. Enrutamiento automático y boletos: estandarizar el enrutamiento definiendo reglas basadas en la gravedad, la propiedad de activos y la explotabilidad. La automatización puede asignar hallazgos, generar boletos en herramientas como JIRA o ServiceNow, notificar a las partes interesadas a través de Slack o Correo electrónico, y cerrar los problemas informativos para garantizar que los resultados se enruten automáticamente a los equipos y sistemas correctos. Los flujos de trabajo de remediación estandarizados: cada hallazgo de sus datos centralizados debe seguir el mismo ciclo de transporte de triaje hasta el cierre basado en el criterio de remediación, sin tener en cuenta la fuente. Ya sea que se descubra desde un escáner o pruebas manuales, el proceso de la clasificación hasta la solución debe ser consistente y rastreable. Valorización y validación activadas: cuando un hallazgo se marca como se resuelve, la automatización debe activar el flujo de trabajo de reestima o validación apropiado. Esto garantiza que nada se deslice a través de las grietas y mantiene la comunicación entre los equipos de seguridad y TI coordinados y el circuito cerrado. PlexTrac admite cada una de estas capacidades a través de su motor de automatización de flujo de trabajo, ayudando a los equipos a unificar y acelerar la entrega, remediación y cierre en una plataforma. Evite la automatización común de dificultades es más que solo la velocidad. Se trata de construir sistemas estandarizados y escalables. Sin embargo, si no se implementa cuidadosamente, puede crear nuevos problemas. Tenga cuidado con: Complicar los primeros esfuerzos: tratar de automatizar todo a la vez puede detener el impulso. Comience con poco y concéntrese primero en algunos flujos de trabajo repetibles. Agregue la complejidad con el tiempo y se expanda a medida que valida el éxito. Tratar la automatización como una configuración única: sus flujos de trabajo deben evolucionar junto con sus herramientas, estructura de equipo y prioridades. La falta de iterar conduce a procesos rancios que ya no se alinean con la forma en que los equipos operan. Automatizar sin flujos de trabajo claramente definidos: saltar a la automatización sin mapear primero sus flujos de trabajo actuales a menudo conduce al caos. Sin reglas claras para el enrutamiento, la propiedad y la escalada, la automatización puede crear más problemas de los que resuelve. Cómo comenzar aquí es cómo comenzar a automatizar la entrega de Pentest: asigne su flujo de trabajo actual: documente cómo se entregan, triadas, asignados y rastreados hoy. Identifique los puntos de fricción: busque tareas repetitivas, retrasos de transferencia y áreas donde la comunicación se descompone. Inicie pequeño: automatice uno o dos pasos de alto impacto primero, como la creación de boletos, las alertas por correo electrónico o la búsqueda de entrega. Agregue la complejidad con el tiempo a medida que valida lo que funciona bien y usa los resultados tempranos para evolucionar los flujos de trabajo, agregar reglas y agilizar aún más. Elija la plataforma correcta: busque soluciones que se integren con sus herramientas existentes y proporcionen visibilidad en el ciclo de vida de vulnerabilidad. Medida del impacto: rastrear métricas como MTTR, retrasos de transferencia y completar la finalización para mostrar el valor de sus esfuerzos. El futuro de los equipos de seguridad de entrega de Pentest está cambiando de pruebas reactivas a la gestión de exposición proactiva. La automatización de entrega de Pentest es una parte clave de esa evolución para ayudar a los equipos a moverse más rápido, colaborar mejor y reducir el riesgo de manera más efectiva. Para los proveedores de servicios, esta es una oportunidad para diferenciar los servicios, las operaciones de escala y ofrecer más valor con menos gastos generales. Para los equipos empresariales, significa conducir la madurez, demostrar el progreso y mantenerse por delante de las amenazas emergentes. Conclusión Pentesting es demasiado importante para quedarse atrapado en informes estáticos y flujos de trabajo manuales. Al automatizar el seguimiento de la entrega, el enrutamiento y la remediación, las organizaciones pueden desbloquear el valor total de sus esfuerzos de seguridad ofensivos haciendo que los hallazgos sean más procesables, estandarizando los flujos de trabajo de remediación y entregando resultados medibles. Ya sea que esté entregando pruebas a los clientes o a un equipo interno, el mensaje es claro: el futuro de la entrega de Pentest está automatizado. ¿Quieres ver cómo se ven los flujos de trabajo Pentest automatizados en acción? Plataformas como PlexTrac centralizan los datos de seguridad de las pruebas manuales y las herramientas automatizadas, lo que permite la entrega en tiempo real y los flujos de trabajo estandarizados en todo el ciclo de vida de vulnerabilidad. ¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Síguenos en Google News, Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

sep 05, 2025Ravie Lakshmananvulnerabilidad / Seguridad empresarial Una vulnerabilidad de seguridad crítica que impacta SAP S / 4HANA, un software de planificación de recursos empresariales (ERP), ha sido explotada activa en la naturaleza. La vulnerabilidad de inyección de comando, rastreada como CVE-2025-42957 (puntaje CVSS: 9.9), fue fijado por SAP como parte de sus actualizaciones mensuales el mes pasado. «SAP S/4HANA permite que un atacante con privilegios de usuario explote una vulnerabilidad en el módulo de función expuesto a través de RFC», según una descripción de la falla en la base de datos de vulnerabilidad nacional (NVD) de NIST. «This flaw enables the injection of arbitrary ABAP code into the system, bypassing essential authorization checks. Successful exploration of the defect could result in a full system compromise of the SAP environment, subverting the confidentiality, integrity, and availability of the system. In short, it can permit attackers to modify the SAP database, create superuser accounts with SAP_ALL privileges, download password hashes, and alter business processes. SecurityBridge Threat Research Los laboratorios, en una alerta emitida el jueves, dijo que ha observado la explotación activa de la falla, afirmando que el problema impacta tanto en las ediciones en la nube y privada «. Señaló que si bien no se ha detectado una explotación generalizada, los actores de amenaza poseen el conocimiento para usarlo, y que la ingeniería inversa del parche para crear un exploit es «relativamente fácil». Como resultado, las organizaciones se aconsejan que apliquen los parches lo antes posible, los registros de RFC de los RFC o la revisión de los restos de RFC, y sean restringidos y se restablezcan los respaldos y se restringuen a los registros y se restringuen. Objeto de autorización S_DMIS Actividad 02 «, también dijo. Actualizar el proveedor de seguridad cibernética Pathlock también ha revelado que» detectó la actividad atípica consistente con los intentos de explotación de CVE-2025-42957, «advertir» cualquier organización que aún no haya aplicado las notas de seguridad de agosto de SAP de SAP está en riesgo «.

Un actor de amenaza que posiblemente de origen ruso se ha atribuido a un nuevo conjunto de ataques dirigidos al sector energético en Kazajstán. La actividad, la Operación Codenamen Barrelfire, está vinculada a un nuevo grupo de amenazas rastreado por Seqrite Labs como ruidoso oso. El actor de amenaza ha estado activo desde al menos abril de 2025. «La campaña está dirigida a los empleados de Kazmunaigas o KMG, donde la entidad de amenaza entregó un documento falso relacionado con el departamento de TI de KMG, imitando la comunicación interna oficial y aprovechando temas como actualizaciones de políticas, procedimientos de certificación interna y ajustes salaros», dijo el investigador de seguridad subhajeet Singha. La cadena de infecciones comienza con un correo electrónico de phishing que contiene un archivo adjunto de cremallera, que incluye un descargador de Actualización de Windows (LNK), un documento de señuelo relacionado con Kazmunaigas y un archivo ReadMe.txt con instrucciones escritas tanto en ruso como en Kazajus para ejecutar un programa llamado «Kazmunaygaz_viewer». El correo electrónico, según la compañía de seguridad cibernética, se envió desde una dirección de correo electrónico comprometida de un individuo que trabaja en el Departamento de Finanzas de Kazmunaigas y se dirigió a otros empleados de la empresa en mayo de 2025. La carga útil del archivo LNK está diseñada para eliminar las cargas útiles adicionales, incluida una secuencia de comandos de lote malicioso que pavimenta el camino para una carga de Powershell doblada. Los ataques culminan con el despliegue de un implante basado en DLL, un binario de 64 bits que puede ejecutar ShellCode para lanzar una capa inversa. Un análisis posterior de la infraestructura del actor de amenaza ha revelado que está organizado en el proveedor de servicios de alojamiento a prueba de balas (BPH) con sede en Rusia Aeza Group, que fue sancionado por los Estados Unidos en julio de 2025 para permitir actividades maliciosas. El desarrollo se produce cuando Harfanglab vinculó a un actor de amenaza alineado en Bielorrusia conocido como escritor fantasma (también conocido como Frostyneighbor o UNC1151) con campañas dirigidas a Ucrania y Polonia desde abril de 2025 con archivos de Zip y Rar Rogue que tienen como objetivo recopilar información sobre sistemas comprometidos e implementar implantes para una mayor explotación. «Estos archivos contienen hojas de cálculo XLS con una macro VBA que cae y carga una DLL», dijo la compañía francesa de ciberseguridad. «Este último es responsable de recopilar información sobre el sistema comprometido y recuperar malware de la próxima etapa de un servidor de comando y control (C2)». Se ha encontrado que las iteraciones posteriores de la campaña escriben un archivo de gabinete de Microsoft (CAB) junto con el atajo LNK para extraer y ejecutar la DLL desde el archivo. La DLL luego procede a realizar el reconocimiento inicial antes de dejar caer el malware de la siguiente etapa del servidor externo. Los ataques dirigidos a Polonia, por otro lado, modifican la cadena de ataque para usar Slack como un mecanismo de baliza y un canal de exfiltración de datos, descargando a cambio una carga útil de la segunda etapa que establece el contacto con los Pesthacks de dominio[.]UCI. Al menos en un caso, la DLL cayó a través de la hoja de cálculo de Excel en macro se usa para cargar un baliza de ataque de cobalto para facilitar una mayor actividad posterior a la explotación. «Estos cambios menores sugieren que UAC-0057 puede estar explorando alternativas, en un probable intento de trabajar en torno a la detección, pero prioriza la continuidad o desarrollo de sus operaciones sobre sigilitud y sofisticación», dijo Harfanglab. Los ataques cibernéticos informaron contra Rusia que los hallazgos se producen en medio de los renovados ataques de extorsión de Oldgremlin contra las empresas rusas en la primera mitad de 2025, dirigiéndose a hasta ocho grandes empresas industriales nacionales utilizando campañas de correo electrónico de phishing. Las intrusiones, según Kaspersky, implicaron el uso de la técnica de traer su propio controlador vulnerable (BYOVD) para deshabilitar las soluciones de seguridad en las computadoras de las víctimas y el intérprete legítimo de nodo.js para ejecutar scripts maliciosos. Los ataques de phishing dirigidos a Rusia también han entregado un nuevo robador de información llamado Phantom Stealer, que se basa en un Stealer de origen abierto con nombre en código STALERIUM, para recopilar una amplia gama de información confidencial utilizando cebos de correo electrónico relacionados con el contenido y los pagos de los adultos. También comparte superposiciones con otra rama de Stealerium conocida como Warp Stealer. Según F6, Phantom Stealer también hereda el módulo «porno de pornetector» de Stealerium que captura las capturas de pantalla de la cámara web cuando los usuarios visitan sitios web pornográficos manteniendo pestañas en la ventana del navegador activo y si el título incluye una lista configurable de términos como pornografía y sexo, entre otros. «Es probable que esto se use más tarde para ‘Sextortion'», dijo Proofpoint en su propio análisis del malware. «Si bien esta característica no es novedosa entre el malware del delito cibernético, no se observa a menudo». En los últimos meses, las organizaciones rusas también han estado en el extremo receptor de los ataques perpetrados por grupos de piratería rastreados como Atlas en la nube, Phantomcore y Scaly Wolf para cosechar información confidencial y entregar cargas útiles adicionales utilizando familias de malware como VBShower, Phantomrat y Phantomrshell. Otro clúster de actividad involucra un nuevo malware Android que se disfraza de una herramienta antivirus creada por la Agencia Federal de Servicios de Seguridad de Rusia (FSB) para destacar a los representantes de las empresas rusas. Las aplicaciones llevan nombres como Security_FSB, фс (ruso para FSB), y Guardcb, el último de los cuales es un intento de pasar como el Banco Central de la Federación de Rusia. Descubierto por primera vez en enero de 2025, el malware exfiltra los datos de las aplicaciones de Messenger y el navegador, transmite desde la cámara del teléfono y registre las teclas de registro buscando permisos extensos para acceder a mensajes SMS, ubicación, audio, cámara. También solicita la ejecución en segundo plano, los derechos del administrador del dispositivo y los servicios de accesibilidad. «La interfaz de la aplicación proporciona solo un idioma: ruso», dijo Doctor Web. «Por lo tanto, el malware se centra por completo en los usuarios rusos. La puerta trasera también utiliza servicios de accesibilidad para protegerse de ser eliminado si recibe el comando correspondiente de los actores de amenaza».

sep 06, 2025Ravie Lakshmanansoftware Seguridad / Criptomoneda Se han descubierto un nuevo conjunto de cuatro paquetes maliciosos en el registro de paquetes NPM con capacidades para robar credenciales de billeteras de criptomonedas de los desarrolladores de Ethereum. «Los paquetes se disfrazan de utilidades criptográficas legítimas y flashbots MEV Infraestructura mientras exfiltran en secreto las claves privadas y las semillas mnemónicas a un bot de telegrama controlado por el actor de amenazas», dijo el investigador de socket Kush Pandya en un análisis. Los paquetes fueron cargados en NPM por un usuario llamado «Flashbotts», con la biblioteca más temprana cargada desde septiembre de 2023. La carga más reciente tuvo lugar el 19 de agosto de 2025. Los paquetes en cuestión, todos están disponibles para descargar a partir de la escritura, se enumeran a continuación: la essonal de Flashbots no se realiza la coincidencia, dado su rol en los efectos adversos de la escritura (MEV (MEV) a continuación; Red, como Sandwich, Liquidation, Rackrunning, Front Running y Time-Bandit. La más peligrosa de las bibliotecas identificadas es «@Flashbotts/Ethers-Provider-Bundle», que utiliza su cubierta funcional para ocultar las operaciones maliciosas. Bajo la apariencia de ofrecer compatibilidad completa de la API Flashbots, el paquete incorpora funcionalidad sigilosa para exfiltrar las variables de entorno a través de SMTP usando MailTrap. Además, el paquete NPM implementa una función de manipulación de transacciones para redirigir todas las transacciones sin firmar a una dirección de billetera controlada por el atacante y registrar metadatos de transacciones previas firmadas. SDK-Ethers, por enchufe, es principalmente benigno, pero incluye dos funciones para transmitir frases de semillas mnemónicas a un bot de telegrama que solo se activan cuando son invocados por desarrolladores involuntarios en sus propios proyectos. El segundo paquete para hacerse pasar por flashbots, Flashbot-SDK-eth, también está diseñado para activar el robo de claves privadas, mientras que Gram-Utilz ofrece un mecanismo modular para exfiltrar datos arbitrarios al chat de telegrama del actor de amenaza. Con las frases de semillas mnemónicas que sirven como la «clave maestra» para recuperar el acceso a las billeteras de criptomonedas, el robo de estas secuencias de palabras puede permitir a los actores de amenaza irrumpir en las billeteras de las víctimas y obtener un control completo sobre sus billeteras. La presencia de comentarios de idiomas vietnamitas en el código fuente sugiere que el actor de amenaza con motivación financiera puede ser de habla vietnamita. Los hallazgos indican un esfuerzo deliberado en parte de los atacantes para armarse la confianza asociada con la plataforma para realizar ataques de la cadena de suministro de software, sin mencionar la oscuridad de la funcionalidad maliciosa en medio de un código inofensivo en su mayoría para dejar de lado el escrutinio. «Debido a que los validadores, buscadores y desarrolladores Defi confían ampliamente los flashbots, cualquier paquete que parece ser un SDK oficial tiene una alta probabilidad de ser adoptados por los operadores que ejecutan bots comerciales o administrando billeteras calientes», señaló Pandya. «Una clave privada comprometida en este entorno puede conducir a un robo inmediato e irreversible de fondos». «Al explotar la confianza del desarrollador en los nombres de paquetes familiares y el acolchado de código malicioso con utilidades legítimas, estos paquetes convierten el desarrollo de Web3 de rutina en una tubería directa para amenazar a los bots de telegrama controlados por los actores».

Se aconseja a las agencias federales de rama ejecutiva civil (FCEB) que actualicen sus instancias de Sitecore para el 25 de septiembre de 2025, luego del descubrimiento de un defecto de seguridad que ha sido de explotación activa en la naturaleza. La vulnerabilidad, rastreada como CVE-2025-53690, tiene una puntuación CVSS de 9.0 de un máximo de 10.0, lo que indica una gravedad crítica. «Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) y la nube administrada contienen una deserialización de la vulnerabilidad de datos no confiable que implica el uso de claves de máquina predeterminadas», dijo la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA). «Este defecto permite a los atacantes explotar las claves de la máquina ASP.NET expuestas para lograr la ejecución de código remoto». Mandiant, propiedad de Google, que descubrió el ataque de deserialización de ViewState Active, dijo que la actividad aprovechó una clave de máquina de muestra que había sido expuesta en las guías de implementación de Sitecore de 2017 y anteriormente. El equipo de inteligencia de amenazas no vinculó la actividad con un actor o grupo de amenazas conocido. «La profunda comprensión del atacante del producto comprometido y la vulnerabilidad explotada fue evidente en su progresión desde el compromiso inicial del servidor hasta la escalada de privilegios», dijeron los investigadores Rommel Joven, Josh Fleischer, Joseph Sciuto, Andi Slok y Choon Kiat Ng. El abuso de las claves de la máquina ASP.NET divulgadas públicamente fue documentado por primera vez por Microsoft en febrero de 2025, con el gigante tecnológico observando una actividad de explotación limitada que se remonta a diciembre de 2024, en la que los actores de amenaza desconocidos aprovecharon la clave para entregar el marco de explotación de Godzilla. Luego, en mayo de 2025, Connectwise divulgó una falla de autenticación inadecuada que impacta la pantalla de la pantalla (CVE-2025-3935, puntaje CVSS: 8.1) que, según dijo, había sido explotado en la naturaleza por un actor de amenaza de estado nacional para realizar ataques de inyección de código Viewstate dirigidos a un pequeño conjunto de clientes. Tan recientemente como julio, el corredor de acceso inicial (IAB) conocido como Melody Gold se atribuyó a una campaña que explota las claves de la máquina ASP.NET para obtener acceso no autorizado a las organizaciones y vender ese acceso a otros actores de amenazas. En la cadena de ataque documentada por Mandiant, CVE-2025-53690 se armó para lograr un compromiso inicial de la instancia de Sitecore orientada a Internet, lo que lleva a la implementación de una combinación de herramientas de código abierto y personalizados para facilitar el reconocimiento, el acceso remoto y el reconocimiento de la directorio activo. La carga útil de ViewState entregada con la clave de la máquina de muestra especificada en las guías de implementación disponibles públicamente es un ensamblaje de .NET denominado WeepSteel, que es capaz de recopilar el sistema, la red y la información del usuario, y exfiltrando los detalles al atacante. El malware toma prestado parte de su funcionalidad de una herramienta Python de código abierto llamada ExchangeCmdpy.py. Con el acceso obtenido, se ha encontrado que los atacantes establecen un punto de apoyo, aumentan los privilegios, mantienen la persistencia, realizan el reconocimiento interno de la red y se mueven lateralmente a través de la red, lo que finalmente conduce al robo de datos. Algunas de las herramientas utilizadas durante estas fases se enumeran a continuación: lombriz de tierra para túneles de red utilizando calcetines dwagent para acceso remoto persistente y reconocimiento de activo directorio para identificar controladores de dominio de dominio dentro de la red de destino sharphound para el reconocimiento de activo directorio gotokentheft para enumerar los tokens de usuario únicos activos en el sistema, ejecutando comandos utilizando los tokens de usuarios y enumerar todos los procesos de ejecución de los usuarios de los usuarios de los usuarios de los usuarios de los usuarios de los usuarios de los usuarios. (RDP) Para el movimiento lateral también se ha observado que los actores de amenaza crean cuentas de administrador local (ASP $ y Sawadmin) para volcar las colmenas SAM/sistema en un intento por obtener acceso de credenciales de administrador y facilitar el movimiento lateral a través de RDP. «Con las cuentas del administrador comprometidas, se eliminaron las cuentas ASP $ y Sawadmin creadas anteriormente, lo que indica un cambio a métodos de acceso más estables y encubiertos», agregó Mandiant. Para contrarrestar la amenaza, se recomienda a las organizaciones rotar las claves de la máquina ASP.NET, bloquear las configuraciones y escanear sus entornos para obtener signos de compromiso. «El resultado de CVE-2025-53690 es que un actor de amenaza emprendedor en algún lugar aparentemente ha estado utilizando una clave de máquina ASP.NET estática que se divulgó públicamente en los documentos de productos para obtener acceso a instancias de Sitecore expuestas», Caitlin Condon, vicepresidente de investigación de seguridad en Vulncheck, dijo a Hacker News. «La vulnerabilidad del día cero surge tanto de la configuración insegura (es decir, el uso de la clave de la máquina estática) como de la exposición pública, y como hemos visto muchas veces antes, los actores de amenaza definitivamente leen documentación. Los defensores que incluso sospechan ligeramente que podrían estar afectados deberían rotar las claves de sus máquinas de inmediato y asegurar, siempre que sea posible, que sus instalaciones de sitios no están expuestas a Internet público». Ryan Dewhurst, jefe de inteligencia de amenazas proactivas en WatchToWr, dijo que el problema es el resultado de que los clientes de Sitecore copen y pegan claves de ejemplo de la documentación oficial, en lugar de generar las únicas y aleatorias. «Cualquier implementación que se ejecute con estas teclas conocidas se dejó expuesta a los ataques de deserialización de ViewState, una ruta recta directa a la ejecución de código remoto (RCE)», agregó Dewhurst. «Sitecore ha confirmado que las nuevas implementaciones ahora generan claves automáticamente y que todos los clientes afectados han sido contactados. El radio de explosión sigue siendo desconocido, pero este error exhibe todas las características que generalmente definen vulnerabilidades severas. El impacto más amplio aún no ha surgido, pero lo hará».

El actor de amenaza detrás del marco y el cargador de malware como servicio (MAAS) llamado Castleloader también ha desarrollado un troyano de acceso remoto conocido como Castlerat. «Disponible en las variantes de Python y C, la funcionalidad central de Castlerat consiste en recopilar información del sistema, descargar y ejecutar cargas útiles adicionales y ejecutar comandos a través de CMD y PowerShell», dijo Future Insikt Group. La compañía de ciberseguridad está rastreando al actor de amenaza detrás de las familias de malware como TAG-150. Se cree que es activo desde al menos en marzo de 2025, Castleloader et al son vistos como vectores de acceso iniciales para una amplia gama de cargas útiles secundarias, incluidos troyanos de acceso remoto, robos de información e incluso otros cargadores. Castleloader fue documentado por primera vez por la compañía suiza de ciberseguridad ProDaft en julio de 2025, ya que se había utilizado en varias campañas que distribuyen Deerstealer, Redline, Stealc, NetSupport Rat, Sectoprat y Hijack Loader. Un análisis posterior de IBM X-Force el mes pasado descubrió que el malware también ha servido como conducto para Monsterv2 y Warmcookie a través del envenenamiento por SEO y los repositorios de Github que se hacen pasar por software legítimo. «Las infecciones se inician más comúnmente a través de ataques de phishing ‘ClickFix’ temáticos de Cloudflare o repositorios fraudulentos de GitHub disfrazados de aplicaciones legítimas», dijo Future, dijo Future. «Los operadores emplean la técnica ClickFix aprovechando los dominios que imitan las bibliotecas de desarrollo de software, las plataformas de reuniones en línea, las alertas de actualización del navegador y los sistemas de verificación de documentos». La evidencia indica que TAG-150 ha estado trabajando en Castlerat desde marzo de 2025, con el actor de amenazas aprovechando una infraestructura de niveles múltiples que comprende los servidores de comando y control de la víctima de nivel 1, así como servidores de nivel 2 y nivel 3 de nivel 1, en su mayoría servidores privados virtuales (VPSE) y servidores de copia de seguridad de nivel 4. Castlerat, la adición recientemente descubierta al Arsenal de TAG-150, puede descargar cargas útiles de la próxima etapa, habilitar capacidades de shell remota e incluso eliminarse. También utiliza los perfiles de la comunidad de Steam como resolución de Dead Drop para alojar los servidores C2 («Libros de programas[.]com «). En particular, Castlerat viene en dos versiones, una escrita en C y la otra, programada en Python, con este último también llamado PynightShade. Vale la pena señalar que Esentire está rastreando el mismo malware bajo el nombre NightShadec2. La variante C de Castlerat incorpora más funcionalidad, lo que permite Para sustituir las direcciones de la billetera copiadas en el portapapeles con una controlada por el atacante con el objetivo de redirigir las transacciones.[.]com para recopilar información basada en la dirección IP pública del host infectado «, dijo Future.» Sin embargo, el alcance de los datos se ha ampliado para incluir la ciudad, el código postal y los indicadores de si la IP está asociada con una VPN, proxy o nodo de tor en el código IP-API.[.]com, indicando desarrollo activo. Queda por ver si su contraparte de Python alcanza la paridad de características. Esentire, en su propio análisis de NightShadec2, lo describió como una botnet que se implementa mediante un cargador .NET, lo que, a su vez, hace uso de técnicas como UAC provocó un bombardeo para evitar las protecciones de seguridad. La compañía canadiense de ciberseguridad dijo que también identificaba variantes equipadas con características para extraer contraseñas y cookies de navegadores web basados ​​en Chromium y Gecko. En pocas palabras, el proceso implica ejecutar un comando PowerShell en un bucle que intenta agregar una exclusión en el defensor de Windows para la carga útil final (es decir, NightShadec2), después de lo cual el cargador verifica el código de salida del proceso PowerShell para determinar si es 0 (significado). Si la exclusión se agrega con éxito, el cargador procede a entregar el malware. Si se devuelve algún otro código de salida que no sea 0, el bucle sigue ejecutándose repetidamente, lo que obliga al usuario a aprobar el mensaje de control de la cuenta del usuario (UAC). «Un aspecto particularmente notable de este enfoque es que los sistemas con el servicio Windefend (Windows Defender) discapacitados generarán códigos de salida no cerosos, lo que provocará que los sandboxes de análisis de malware queden atrapados en el bucle de ejecución», dijo Esentire, y agregó el método permite un derivación de múltiples soluciones de sandbox. El desarrollo se produce cuando Hunt.io detalló otro cargador de malware llamado TinyLoader que se ha utilizado para servir a Redline Stealer y DCRAT. Además de establecer la persistencia modificando la configuración del registro de Windows, el malware monitorea el portapapeles y reemplaza instantáneamente las direcciones de billetera criptográfica copiadas. Sus paneles C2 están alojados en Letonia, el Reino Unido y los Países Bajos. «TinyLoader instala tanto el robador de línea roja como los robadores de criptomonedas para cosechar credenciales y transacciones de secuestro», dijo la compañía. «Se extiende a través de unidades USB, acciones de red y atajos falsos que engañan a los usuarios para que lo abran». Los hallazgos también coinciden con el descubrimiento de dos nuevas familias de malware, un keylogger basado en Windows llamado TinkyWinkey y un robador de información de Python denominado robador de infales3c, que puede recopilar la entrada del teclado y recopilar información extensa del sistema, respectivamente. Un análisis posterior de Inf0S3C Stealer ha identificado puntos de similitud con el agarre en blanco y el robo de upbral, otras dos familias de malware disponibles públicamente, lo que sugiere que el mismo autor podría ser responsable de las tres cepas. «Tinkywinkey representa un keylogger altamente capaz y sigiloso basado en Windows que combina la ejecución persistente del servicio, los ganchos de teclado de bajo nivel y el perfil integral del sistema para recopilar información confidencial», dijo Cyfirma. Inf0S3C Stealer «recopila sistemáticamente los detalles del sistema, incluidos los identificadores del host, la información de la CPU y la configuración de la red, y captura capturas de pantalla. Enumera en ejecución de procesos y genera vistas jerárquicas de directorios de usuarios, como escritorio, documentos, imágenes y descargas».

Los investigadores de ciberseguridad han levantado la tapa en un clúster de amenazas previamente indocumentado denominado Ghostredirector que ha logrado comprometer al menos 65 servidores de Windows principalmente ubicados en Brasil, Tailandia y Vietnam. Los ataques, según la empresa de ciberseguridad eslovaca ESET, llevaron a la implementación de una puerta trasera pasiva C ++ llamada Rungan y un módulo nativo de Información de Internet (IIS) con nombre en código Gamshen. Se cree que el actor de amenaza está activo desde al menos agosto de 2024 «. Si bien Rungan tiene la capacidad de ejecutar comandos en un servidor comprometido, el propósito de GAMSHEN es proporcionar fraude de SEO como servicio, es decir, para manipular los resultados del motor de búsqueda, lo que aumenta la clasificación de la página de un sitio web de destino configurado», dijo el investigador de ESET Fernando Tavella en un informe compartido con las noticias del hacker. «Aunque Gamshen solo modifica la respuesta cuando la solicitud proviene de GoogleBot, es decir, no sirve contenido malicioso o de otra manera afecta a los visitantes regulares de los sitios web, la participación en el esquema de fraude SEO puede dañar la reputación del sitio web de host comprometido al asociarlo con las técnicas sombreadas de SEO y los sitios web impulsados». Algunos de los otros objetivos del grupo de piratería incluyen Perú, Estados Unidos, Canadá, Finlandia, India, Países Bajos, Filipinas y Singapur. También se dice que la actividad es indiscriminada, con entidades de educación, atención médica, seguro, transporte, tecnología y sectores minoristas destacados. El acceso inicial a las redes de destino se logra explotando una vulnerabilidad, probablemente un defecto de inyección SQL, después de lo cual PowerShell se utiliza para entregar herramientas adicionales alojadas en un servidor de puesta en escena («868ID[.]com»). «This conjecture is supported by our observation that most unauthorized PowerShell executions originated from the binary sqlserver.exe, which holds a stored procedure xp_cmdshell that can be used to execute commands on a machine,» ESET said. Rungan is designed to await incoming requests from a URL matching a predefined pattern (ie, «https: //+: 80/v1.0/8888/sys.html»), y luego procede a analizar y ejecutar los comandos incrustados en ellos. run a command on the server using pipes and the CreateProcessA API Written in C/C++, Gamshen is an example of an IIS malware family called «Group 13,» which can act both as a backdoor and conduct SEO fraud. It functions similar to IISerpent, another IIS-specific malware that was documented by ESET back in August 2021. IISerpent, configured as a malicious extension for Microsoft’s web server software, le permite interceptar todas las solicitudes HTTP realizadas en los sitios web alojados por el servidor comprometido, específicamente aquellos que se originan en los rastreadores de motores de búsqueda, y cambiar las respuestas HTTP del servidor con el objetivo de redirigir los motores de búsqueda a un sitio web de estafa de la elección del atacante que elección de los atacantes de regreso. «Es más difícil detectar ya que residen principalmente en los mismos directorios que los módulos legítimos utilizados por las aplicaciones objetivo, y siguen la misma estructura de código que los módulos limpios». Donde estos vínculos de retroceso redirigen a los usuarios desprevenidos, pero se cree que el esquema de fraude SEO se está utilizando para promover varios sitios web de juegos de azar. ASP, PHP, and JavaScript web shells It’s assessed with medium confidence that GhostRedirector is a China-aligned threat actor based on the presence of hard-coded Chinese strings in the source code, a code-signing certificate issued to a Chinese company, Shenzhen Diyuan Technology Co., Ltd., to sign the privilege escalation artifacts, and the use of the password «huang» for one of the Los usuarios creados por Ghostredirector en el servidor comprometido. Servidor comprometido para promocionar un sitio web de juego de terceros, potencialmente un cliente que paga que participe en un esquema de servicio de fraude de SEO como un servicio «, dijo la compañía.» Ghostredirector también demuestra persistencia y una reiliencia operativa mediante la implementación de múltiples herramientas de acceso remoto en el servidor comprometido.

sep 04, 2025Ravie Lakshmanancybersecurity / malware El grupo de piratería patrocinado por el estado ruso rastreado como APT28 se ha atribuido a una nueva puerta trasera de Microsoft Outlook llamada Notdoor en ataques dirigidos a múltiples compañías de diferentes sectores en países miembros de la OTAN. Notdoor «es una macro de VBA para Outlook diseñada para monitorear los correos electrónicos entrantes para una palabra de activación específica», dijo el equipo de inteligencia de amenazas LAB de S2 Grupo. «Cuando se detecta dicho correo electrónico, permite a un atacante exfiltrar datos, cargar archivos y ejecutar comandos en la computadora de la víctima». El artefacto obtiene su nombre del uso de la palabra «nada» dentro del código fuente, agregó la compañía de seguridad cibernética española. La actividad destaca el abuso de la perspectiva como una comunicación sigilosa, exfiltración de datos y canal de entrega de malware. Actualmente no se conoce el vector de acceso inicial exacto utilizado para entregar el malware, pero el análisis muestra que se implementa a través del ejecutable OneDrive de Microsoft («onedrive.exe») utilizando una técnica denominada carga lateral de DLL. Esto lleva a la ejecución de una DLL maliciosa («sspicli.dll»), que luego instala la puerta trasera VBA y deshabilita las protecciones de seguridad macro. Específicamente, ejecuta los comandos de PowerShell codificados en Base64 para realizar una serie de acciones que implican baliza a un webhook controlado por el atacante[.]Sitio, Configuración de la persistencia a través de modificaciones del registro, habilitando la ejecución de macro y desactivar los mensajes de diálogo relacionados con las perspectivas para evadir la detección. Notdoor está diseñado como un proyecto Visual Basic para Aplicaciones (VBA) de Outlook que hace uso de la aplicación. MAPILOGONCOMPLETE y Aplicación. Eventos de NewmailEx para ejecutar la carga útil cada vez que se inicia Outlook o que llega un nuevo correo electrónico. Luego procede a crear una carpeta en la ruta %temp %\ temp si no existe, utilizándola como una carpeta de puesta en escena para almacenar archivos TXT creados durante el curso de la operación y exfiltrarlos a una dirección de correo de protones. También analiza los mensajes entrantes para una cadena de activación, como «informe diario», lo que hace que extraiga los comandos incrustados que se ejecutarán. El malware admite cuatro comandos diferentes: CMD, para ejecutar comandos y devolver la salida estándar como un archivo adjunto de correo electrónico CMDNO, para ejecutar los comandos DWN, para exfiltrar archivos desde la computadora de la víctima enviándolos como accesorios de correo electrónico UPL, para soltar archivos a la computadora de la víctima «Los archivos exfiltrados por el malware están guardados en la carpeta», dijo Lab52. «El contenido del archivo se codifica utilizando el cifrado personalizado del malware, se envía por correo electrónico y luego se elimina del sistema». La divulgación se produce cuando el Centro de Inteligencia de Amenazos Basado en Beijing detalló la Tradecraft en evolución de Gamaredon (también conocida como APT-C-53), destacando su uso de telégrafo propiedad de telegrama como un resolutor de gotas muertas para señalar la infraestructura de comando y control (C2). Los ataques también son notables por el abuso de Microsoft Dev Tunnels (DevTunnels.Ms), un servicio que permite a los desarrolladores exponer de forma segura los servicios web locales a Internet para fines de prueba y depuración, como dominios C2 para mayor sigiloso. «Esta técnica proporciona dos ventajas: primero, la IP del servidor C2 original está completamente enmascarada por los nodos de retransmisión de Microsoft, bloqueando los trazas de inteligencia de amenazas basadas en la reputación de IP», dijo la compañía de seguridad cibernética. «En segundo lugar, al explotar la capacidad del Servicio para restablecer los nombres de dominio de manera minuciosa a minuto, los atacantes pueden rotar rápidamente los nodos de infraestructura, aprovechando las credenciales de confianza y la escala de tráfico de los servicios en la nube convencionales para mantener una operación de amenaza continua de exposición casi cero». Las cadenas de ataque implican el uso de dominios falsos de trabajadores de CloudFlare para distribuir un script de Visual Basic como Pterolnk, que puede propagar la infección a otras máquinas copiando las unidades USB conectadas, así como descargar cargas útiles adicionales. «Esta cadena de ataque demuestra un alto nivel de diseño especializado, que emplea cuatro capas de ofuscación (persistencia del registro, compilación dinámica, disfrazamiento de la ruta, abuso del servicio en la nube) para llevar a cabo una operación completamente encubierta desde la implantación inicial hasta la exfiltración de datos», dijo el Centro de Inteligencia de Amenazos 360.

sep 04, 2025Ravie Lakshmanartificial Inteligencia / malware Ciberseguridad Los investigadores han marcado una nueva técnica que los cibercriminales han adoptado para evitar las protecciones malvertitantes de la plataforma de redes sociales X y propagar enlaces maliciosos utilizando su Grok asistente de inteligencia artificial (AI). Los hallazgos fueron destacados por Nati Tal, Jefe de Guardio Labs, en una serie de publicaciones sobre X. La técnica ha sido con nombre en código Grokking. El enfoque está diseñado para evitar restricciones impuestas por X en anuncios promocionados que permiten a los usuarios incluir solo texto, imágenes o videos, y posteriormente las amplifican a una audiencia más amplia, atrayendo cientos de miles de impresiones a través de la promoción pagada. Para lograr esto, se ha encontrado que los malvertidos ejecutan publicaciones promovidas por tarjeta de video con contenido de adultos como cebo, con el espurio enlace oculto en el campo de metadatos «De:» debajo del reproductor de video que aparentemente no es escaneado por la plataforma de redes sociales. En el siguiente paso, la etiqueta de Fraudsters se convierte en respuestas a la publicación, preguntando algo similar a «¿De dónde es este video?», Le solicita al chatbot Ai a mostrar visiblemente el enlace en respuesta. «Además de eso, ahora se amplifica en SEO y reputación de dominio, después de todo, Grok se hizo eco de Grok en una publicación con millones de impresiones», dijo Tal. «Un enlace malicioso que X prohíbe explícitamente en anuncios (¡y debería haber sido bloqueado por completo!) Aparece repentinamente en un puesto por la cuenta de Grok ajustada al sistema, sentada bajo un hilo promovido viral y extendiéndose directamente a millones de alimentos y resultados de búsqueda de búsqueda!» Guardio dijo que los enlaces dirigen a los usuarios a las redes de anuncios incompletos, enviándolos a enlaces maliciosos que impulsan estafas falsas de captcha, malware de robo de información y otro contenido sospechoso a través de la monetización de enlace directo (también conocido como SmartLink). Se evalúa que los dominios son parte del mismo sistema de distribución de tráfico (TDS), que a menudo es utilizado por los proveedores de tecnología publicitaria maliciosa para enrutar el tráfico a contenido dañino o engañoso. La compañía de ciberseguridad le dijo a The Hacker News que ha encontrado cientos de cuentas que participan en este comportamiento en los últimos días, y cada uno de ellos publicó cientos o incluso miles de publicaciones similares. «Parecen estar publicando sin parar durante varios días hasta que la cuenta se suspenda por violar las políticas de la plataforma», agregó. «Así que definitivamente hay muchos de ellos y se ve muy organizado».

sep 03, 2025Ravie Lakshmananmalware / Ingeniería Social Los investigadores de seguridad cibernética han descubierto dos nuevos paquetes maliciosos en el registro de NPM que utilizan contratos inteligentes para la cadena de bloques de Ethereum para llevar a cabo acciones maliciosas en los sistemas comprometidos. «Los dos paquetes de NPM abusaron de contratos inteligentes para ocultar comandos maliciosos que instalaron malware descargador en sistemas comprometidos», dijo la investigadora de reversinglabs, Lucija Valentić, en un informe compartido con Hacker News. Los paquetes, ambos cargados en NPM en julio de 2025 y ya no están disponibles para descargar, se enumeran a continuación: la firma de seguridad de la cadena de suministro de software dijo que las bibliotecas son parte de una campaña más grande y sofisticada que afecta tanto a NPM como a GitHub, engañando a los desarrolladores inesperados para que descarguen y ejecutenlas. Si bien los paquetes en sí no hacen ningún esfuerzo para ocultar su funcionalidad maliciosa, ReversingLabs señaló que los proyectos de Github que importaron estos paquetes se esforzaron para que parecieran creíbles. En cuanto a los paquetes en sí, el comportamiento nefasto se activa una vez que se usa o se incluye en algún otro proyecto, lo que hace que busque y ejecute una carga útil de la próxima etapa de un servidor controlado por el atacante. Aunque este es el costo para el curso cuando se trata de descargadores de malware, donde se distingue es el uso de contratos inteligentes de Ethereum para organizar las URL que alojan la carga útil, una técnica que recuerda a Etherhiding. El cambio subraya las nuevas tácticas que los actores de amenaza están adoptando para evadir la detección. Una investigación adicional sobre los paquetes ha revelado que se hace referencia en una red de repositorios de GitHub que afirman ser un Solana-Trading-Bot-V2 que aprovecha los «datos en la cadena en tiempo real para ejecutar operaciones automáticamente, ahorrando su tiempo y esfuerzo». La cuenta de GitHub asociada con el repositorio ya no está disponible. Se evalúa que estas cuentas son parte de una oferta de distribución como servicio (DAAS) llamada Stargazers Ghost Network, que se refiere a un grupo de cuentas falsas de Github que se sabe que protagoniza, bifurcan, observa, compromete y se suscribe a repositorios maliciosos para inflar artificialmente su popularidad. Entre los compromisos se encuentran cambios en el código fuente para importar Colortoolsv2. Algunos de los otros repositorios capturados empujando el paquete NPM son Ethereum-Mev-Bot-V2, arbitraje-bots y hiperliquid-trading-bot. El nombramiento de estos repositorios de GitHub sugiere que los desarrolladores y usuarios de criptomonedas son el objetivo principal de la campaña, utilizando una combinación de ingeniería social y engaño. «Es fundamental que los desarrolladores evalúen cada biblioteca que están considerando implementar antes de decidir incluirla en su ciclo de desarrollo», dijo Valentić. «Y eso significa retirar las portadas de los paquetes de código abierto y sus mantenedores: mirar más allá de los números crudos de los mantenedores, los compromisos y las descargas para evaluar si un paquete determinado y los desarrolladores detrás de él son lo que se presentan».