Boletín semanal de ciberseguridad, 1 — 8 de julio

Telefónica Tech    8 julio, 2022
Foto: Christina @ wocintechchat.com

Raspberry Robin: gusano detectado en múltiples redes Windows

Microsoft ha emitido un aviso privado dirigido a los suscriptores de Microsoft Defender para Endpoint, informando sobre la detección del malware Raspberry Robin en múltiples redes del sector industrial principalmente.

Este gusano se creó en 2019 y fue detectado por primera vez en septiembre del pasado año 2021, siendo su principal método de propagación a través de dispositivos USB infectados.

Algunas de sus características son el uso de dispositivos NAS de QNAP como servidores de comando y control (C2) y la utilización de conexiones a la red Tor. Además, Raspberry Robin abusa de herramientas legítimas de Windows como el proceso msiexec para infectar nuevos dispositivos, ejecutar cargas útiles maliciosas y, finalmente, entregar malware.

No está confirmada la explotación activa de los accesos que los operadores de este malware ya habrían obtenido a las redes de sus víctimas y no ha sido posible atribuir esta campaña a ningún actor malicioso específico, si bien Microsoft la ha calificado como de alto riesgo, dado que los atacantes podrían implementar malware adicional en las redes de las víctimas y escalar sus privilegios en cualquier momento. 

Más info

* * *

Vulnerabilidad crítica en Spring Data para MongoDB

El investigador Zewei Zhang, de NSFOCUS TIANJI Lab, ha reportado una vulnerabilidad crítica de ejecución remota de código (RCE) en Spring Data MongoDB, proyecto para la integración de documentos en bases de datos MongoDB. El error se ha identificado con el CVE-2022-22980 y ha recibido una criticidad de 9.8 (CVSSv3).

En concreto la vulnerabilidad consiste en la posibilidad de realizar una inyección SpEL (Spring Expression Language) maliciosa que permitiría a un atacante ejecutar código arbitrario de forma remota con privilegios heredados.

El fallo afecta a las versiones 3.4.0, 3.3.0 a 3.3.4, y versiones anteriores no compatibles, por su parte, Spring ya lanzó las correspondientes versiones parcheadas de Spring Data MongoDB, 3.4.1 y 3.3.5 a finales del pasado mes de junio.

No obstante, en caso de no ser posible implementar estas nuevas versiones, existen medidas de mitigación que pueden consultarse en el aviso publicado por VMware, las cuales se recomienda aplicar de inmediato teniendo en cuenta la disponibilidad de forma pública de pruebas de concepto sobre esta vulnerabilidad.

Más info → 

* * *

Versión maliciosa de Brute Ratel C4

Investigadores de Palo Alto Networks han publicado acerca de una muestra maliciosa del software legítimo Brute Ratel C4 (BRc4). Esta herramienta ha surgido como una alternativa a Cobalt Strike para los red team a la hora de hacer pruebas de penetración.

Al igual que Cobalt Strike deja balizas en los ordenadores infectados, Brute Ratel instala badgers que llevan a cabo una función similar, establecen persistencia y se conectan a los servidores de comando y control para recibir órdenes y ejecutar código en los ordenadores infectados.

Adicionalmente, esta herramienta fue diseñada específicamente para evadir la detección por Endpoints (EDR) y antivirus. Según los investigadores es muy probable que antiguos miembros de Conti ransomware hayan creado empresas fantasmas para poder pasar una parte del proceso de verificación necesario para conseguir este software.

Por último, instan a que los proveedores de seguridad actualicen sus protecciones para detectar este software y que las organizaciones tomen medidas proactivas para defenderse.

Más info

* * *

Vulnerabilidad crítica en OpenSSL

El investigador de seguridad Xi Ruoyao ha descubierto una vulnerabilidad en la librería criptográfica de OpenSSL que podría derivar en ejecución remota de código bajo ciertas circunstancias.

El fallo, identificado como CVE-2022-2274, radica en la implementación de RSA para las CPU X86_64 compatibles con las instrucciones AVX512IFMA. La vulnerabilidad podría derivar en una corrupción de memoria durante la computación, que un atacante podría utilizar para desencadenar en último término una ejecución remota de código en la máquina que realiza la computación.

El fallo afecta a la versión 3.0.4 de OpenSSL que se lanzaba el 21 de junio de 2022, y ha sido corregida con la versión 3.0.5 de OpenSSL. Las versiones OpenSSL 1.1.1 y Open SSL 1.0.2 no se ven afectadas por esta vulnerabilidad. 

Más info → 

* * *

Campaña del nuevo ransomware HavanaCrypt

Investigadores de TrendMicro han analizado una campaña de la nueva familia de ransomware denominada como HavanaCrypt, que estaría haciéndose pasar por la aplicación Google Software Update para su distribución.

HavanaCrypt está compilado en .NET y utiliza Obfuscar, un ofuscador de código abierto para securizar el código .NET. Asimismo, se ha identificado que estaría haciendo uso de una dirección IP de un servicio de hosting de Microsoft como C&C (Command&Control) para eludir la detección, algo poco habitual en este tipo de amenazas.

Desde TrendMicro se ha detectado además, el uso de múltiples herramientas anti-virtualización para evadir el posible análisis dinámico en máquinas virtuales. Por último, cabe destacar la función QueueUserWorkItem, empleada para distribuir otros payloads y herramientas de cifrado.

Tras el proceso de cifrado, durante el cual utiliza módulos legítimos de KeePass Password Safe y la función CryptoRandom, este ransomware no deja ninguna nota de rescate, por lo que los investigadores creen que es posible que todavía se encuentre en fase de desarrollo.  

Más info

Deja una respuesta

Tu dirección de correo electrónico no será publicada.