Boletín semanal de ciberseguridad 11-17 septiembre

S.O.V.A. – Nuevo troyano bancario para Android

Investigadores de Threat Fabric han descubierto la existencia, al menos desde principios del mes de agosto, de un nuevo troyano bancario para Android al que han denominado S.O.V.A., cuyo objetivo principal sería la recopilación de información personal identificable (PII) de las víctimas. Se trata de un troyano que contiene funcionalidades habituales en este tipo de malware como son la capacidad de realizar ataques de superposición, keylogging o manipulación de notificaciones; pero que también incluye otras funcionalidades menos comunes, como el robo de cookies de inicio de sesión, lo que permitiría a los atacantes tener acceso a inicios de sesión válidos de los usuarios sin necesidad de conocer sus credenciales.

Por el momento, el troyano se encuentra en fase de desarrollo, y los autores lo estarían publicitando en foros underground con la intención de poder probarlo en múltiples dispositivos e implementar las mejoras necesarias. Según los investigadores, ya se habrían detectado adaptaciones del malware, disponibles para la suplantación de instituciones bancarias en Estados Unidos y España fundamentalmente, aunque en su anuncio los autores ofrecen la posibilidad de adaptarlo contra otras entidades según necesidades del comprador.

Más info: https://www.threatfabric.com/blogs/sova-new-trojan-with-fowl-intentions.html

Vermilion Strike: versión no oficial de un Beacon de Cobalt Strike

Investigadores de Intezer descubrieron el pasado mes de agosto una versión no oficial de un Beacon de Cobalt Strike para sistemas Linux y Windows. Este Beacon, denominado Vermilion Strike, estaría desarrollado desde cero por agentes amenaza desconocidos, sin compartir código con la versión oficial, y se estaría empleando de forma activa contra organizaciones de todo el mundo. Vermilion Strike utiliza el mismo protocolo que Cobalt Strike para conectarse a los servidores de Command and Control y tiene capacidades de acceso remoto como subir archivos, ejecutar comandos y modificar archivos.

Esta amenaza llevaría en activo desde agosto y estaría siendo utilizada en ataques dirigidos contra empresas de telecomunicaciones, agencias gubernamentales, tecnológicas e instituciones financieras de todo el mundo. El objetivo final de los mismos parece enfocarse a labores de ciberespionaje.

Más info: https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/

Operación Harvest: campaña de ciberespionaje de larga duración

Investigadores de McAfee han publicado el análisis de una operación de larga duración a la que han denominado “Harvest”. El hallazgo de esta actividad comenzó con el análisis de un incidente de malware que fue ampliándose hasta configurarse como un ciberataque de gran sofisticación que habría durado varios años.

El actor amenaza inició sus incursiones mediante la vulneración de un servidor web de la víctima, generando persistencia e instalando herramientas que serían utilizadas para la recopilación de información, la elevación de privilegios, la realización de movimientos laterales y la ejecución de archivos. Entre las herramientas utilizadas destacan PSexec, Procdump, Mimikatz, RottenPotato y BadPotato.  Además de valerse de un arsenal de herramientas bastante amplio, el agente amenaza se sirvió de los malware PlugX y Winnti para escalar privilegios y obtener un backdoor en la infraestructura de la víctima.

En base a los análisis realizados, los investigadores estiman que la incursión fue llevada a cabo por un actor de origen chino que comparte vínculos con APT27 y APT41. Su objetivo principal habría sido mantener su presencia dentro de la infraestructura de la víctima para exfiltrar información de inteligencia con fines comerciales o militares.

Más info: https://www.mcafee.com/blogs/enterprise/mcafee-enterprise-atr/operation-harvest-a-deep-dive-into-a-long-term-campaign/

Detalles adicionales sobre las campañas de explotación del 0-day en Microsoft MSHTML

Investigadores de Microsoft han publicado un análisis detallado de los primeros ataques detectados en los que se habría explotado la vulnerabilidad CVE-2021-40444, así como su potencial atribución. Las primeras campañas se remontan al mes de agosto, con correos electrónicos bajo el pretexto de acuerdos legales o contractuales donde los documentos maliciosos se alojaban en sitos legítimos de intercambio de archivos para la distribución de loaders con beacons de Cobalt Strike. El payload final no era marcado por los sistemas Windows como descargado de una fuente externa, por lo que era ejecutado directamente, sin interacción del usuario, evidenciándose así la explotación de la vulnerabilidad. La autoría de estos ataques iniciales, según Microsoft, apunta a DEV-0365, un grupo en desarrollo bajo el que se agrupa un cluster de actividades fraudulentas asociadas a infraestructura de Cobalt Strike. No obstante, también indican que parte de la infraestructura que alojaba los documentos maliciosos iniciales se puede relacionar con payloads de BazarLoader y Trickbot, actividad asociada al actor amenaza DEV-0193 (también conocido como UNC1878 o Wizar Spider).

Pese a estos vínculos con actores genéricos, desde Microsoft han querido diferenciar esta actividad de explotación de la vulnerabilidad a un nuevo grupo denominado DEV-0413, ya que indican que no estaríamos ante campañas genéricas, sino que los correos de phishing estaban muy alineados con las operaciones comerciales de las organizaciones a las que se atacaba. De forma adicional a la investigación de Microsoft, en los últimos días, investigadores de seguridad en Twitter también vienen alertando de la detección de campañas de spam que estarían distribuyendo el troyano Ramint mediante la explotación del mismo fallo.

Más info: https://www.microsoft.com/security/blog/2021/09/15/analyzing-attacks-that-exploit-the-mshtml-cve-2021-40444-vulnerability/

OMIGOD: vulnerabilidades en la cadena de suministro en la nube

El equipo de investigadores de Wiz han descubierto recientemente una serie de vulnerabilidades en el agente de software Open Management Infrastructure (OMI), integrado en muchos de los productos más populares de Azure. En concreto se trata de cuatro vulnerabilidades catalogadas como CVE-2021-38647 CVSS 9.8, CVE-2021-38648 CVSS 7.8, CVE-2021-38645 CVSS 7.8, y CVE-2021-38649 CVSS 7.0, denominadas conjuntamente como “OMIGOD”.

El riesgo está en clientes que utilicen máquinas virtuales Linux en la nube ya que el agente OMI se ejecuta de manera automática y sin el conocimiento de los usuarios al habilitar ciertos servicios en Azure (p.ej: Log Analytics, Diagnostics, Configuration Management, etc.), por ello estas vulnerabilidades en OMI podrían permitir a un posible atacante escalar a privilegios de root y ejecutar código malicioso de manera remota. Microsoft ha lanzado la versión parcheada de OMI 1.6.8.1., por lo que se aconseja su actualización lo antes posible, ya que de acuerdo con los investigadores miles de clientes de Azure y millones de puntos de conexión estarían afectados.

Más info: https://www.wiz.io/blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution