18 de julio de 2024Sala de prensaCódigo abierto / Ciberdelito Se ha observado que actores de amenazas desconocidos aprovechan herramientas de código abierto como parte de una presunta campaña de ciberespionaje dirigida a organizaciones gubernamentales y del sector privado globales. El Grupo Insikt de Recorded Future está rastreando la actividad bajo el nombre temporal TAG-100, y señala que el adversario probablemente comprometió organizaciones en al menos diez países de África, Asia, América del Norte, América del Sur y Oceanía, incluidas dos organizaciones intergubernamentales de Asia y el Pacífico sin identificar. También se han señalado desde febrero de 2024 entidades diplomáticas, gubernamentales, de la cadena de suministro de semiconductores, sin fines de lucro y religiosas ubicadas en Camboya, Yibuti, República Dominicana, Fiji, Indonesia, Países Bajos, Taiwán, Reino Unido, Estados Unidos y Vietnam. «TAG-100 emplea capacidades de acceso remoto de código abierto y explota varios dispositivos con conexión a Internet para obtener acceso inicial», dijo la empresa de ciberseguridad. «El grupo utilizó las puertas traseras de código abierto Go Pantegana y Spark RAT después de la explotación». Las cadenas de ataque implican la explotación de fallas de seguridad conocidas que afectan a varios productos orientados a Internet, incluidos Citrix NetScaler, F5 BIG-IP, Zimbra, Microsoft Exchange Server, SonicWall, Cisco Adaptive Security Appliances ASA), Palo Alto Networks GlobalProtect y Fortinet FortiGate. También se ha observado que el grupo realiza una amplia actividad de reconocimiento dirigida a dispositivos orientados a Internet que pertenecen a organizaciones en al menos quince países, incluidos Cuba, Francia, Italia, Japón y Malasia. Esto también comprendía varias embajadas cubanas ubicadas en Bolivia, Francia y Estados Unidos «A partir del 16 de abril de 2024, TAG-100 llevó a cabo una probable actividad de reconocimiento y explotación dirigida a dispositivos Palo Alto Networks GlobalProtect de organizaciones, principalmente con sede en Estados Unidos, dentro de los sectores de educación, finanzas, legal, gobierno local y servicios públicos», dijo la compañía. Se dice que este esfuerzo coincidió con la publicación de un exploit de prueba de concepto (PoC) para CVE-2024-3400, una vulnerabilidad crítica de ejecución remota de código que afecta a los firewalls GlobalProtect de Palo Alto Networks. El acceso inicial exitoso es seguido por la implementación de Pantegana, Spark RAT y Cobalt Strike Beacon en los hosts comprometidos. Los hallazgos ilustran cómo los exploits de PoC se pueden combinar con programas de código abierto para orquestar ataques, reduciendo efectivamente la barrera de entrada para actores de amenazas menos sofisticados. Además, esta técnica permite a los adversarios complicar los esfuerzos de atribución y evadir la detección. «El ataque generalizado a dispositivos que dan a Internet es particularmente atractivo porque ofrece un punto de apoyo dentro de la red objetivo a través de productos que a menudo tienen visibilidad limitada, capacidades de registro y soporte para soluciones de seguridad tradicionales, lo que reduce el riesgo de detección posterior a la explotación», dijo Recorded Future. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.