Boletín semanal de ciberseguridad 26-2 de julio

Nueva actividad del actor amenaza Nobelium

Microsoft ha publicado una actualización sobre las actividades del actor amenaza ruso conocido como Nobelium (aka APT29), a quien se atribuye el compromiso a la cadena de suministro de SolarWinds a finales de 2020. En esta ocasión, los investigadores advierten de ataques dirigidos de fuerza bruta y password spraying contra entidades en 36 países diferentes, casi la mitad de los cuales se centran en Estados Unidos. Sectorialmente, los ataques están afectando principalmente a empresas tecnológicas (57%) y gubernamentales (20%), así como, en menor medida, a entidades financieras y Think Tanks. Por el momento, se conocen tres compromisos como resultado de esta actividad. Adicionalmente, como parte de esta investigación, Microsoft identificó un troyano dedicado al robo de credenciales instalado en el dispositivo de uno de sus empleados en el área de asistencia a clientes. Con esta intrusión, Nobelium logró acceder a información básica sobre las cuentas de un número limitado de clientes de Microsoft, datos que han sido utilizados para lanzar campañas de phishing dirigido.

Información completa: https://msrc-blog.microsoft.com/2021/06/25/new-nobelium-activity/

Microsoft pública detalles técnicos de vulnerabilidades críticas en routers NETGEAR

Investigadores de seguridad de Microsoft 365 Defender Research han publicado los detalles de tres vulnerabilidades críticas con puntuación CVSS de entre 7.1 y 9.4 en los routers NETGEAR DGN-2200v1 con versiones anteriores a la v1.0.0.60. Estas fueron notificadas en un aviso de seguridad por Netgear en diciembre de 2020, junto con los detalles para parchear las vulnerabilidades. Las tres vulnerabilidades residen en el componente HTTPd y permiten a un atacante remoto sin autenticar evadir la autenticación y realizar la función de backup para conseguir las credenciales de acceso, así como recuperar estas mediante ataques de canal lateral midiendo el tiempo de respuesta al autenticarse. Estas vulnerabilidades podrían suponer un vector de entrada en las redes internas de las empresas que tengan el puerto de administración expuesto del router vulnerable.

Información completa: https://www.microsoft.com/security/blog/2021/06/30/microsoft-finds-new-netgear-firmware-vulnerabilities-that-could-lead-to-identity-theft-and-full-system-compromise/

Campaña de ataques de fuerza bruta por parte de integrantes del GRU ruso

Diversas agencias norteamericanas y británicas, NSA, CISA, FBI y NCSC, han publicado una alerta sobre una campaña de ataques de fuerza bruta llevados a cabo desde el directorio Principal del Alto Estado Mayor de las Fuerzas Armadas de la Federación de Rusia (GRU). Según los investigadores, esta campaña se llevaría desarrollando desde mediados de 2019 hasta inicios del presente año, y estaría siendo dirigida contra entidades de diferentes sectores que utilizan principalmente los servicios en la nube de Microsoft Office 365, entre otros. Esta metodología de ataques por fuerza bruta permite a los actores obtener las credenciales de sus víctimas, para posteriormente valerse de estos accesos y realizar movimientos laterales. Asimismo, los investigadores indican que también habrían conseguido explotar las vulnerabilidades CVE 2020-0688 y CVE 2020-17144 de servidores de Microsoft Exchange, con el objetivo de permitir la ejecución remota de código y un mayor acceso en las redes de las víctimas. Se recomienda aplicar las medidas de mitigación y bloqueo de IOCs adjuntos a la nota informativa.

Información completa: https://media.defense.gov/2021/Jul/01/2002753896/-1/-1/1/CSA_GRU_GLOBAL_BRUTE_FORCE_CAMPAIGN_UOO158036-21.PDF

Nuevas variantes de la botnet Mirai explotan un zero-day en KGUARD DVR

Investigadores de Netlab han identificado dos nuevas botnets basadas en el código de Mirai que utilizan una vulnerabilidad de día cero en dispositivos de grabación de vídeo digital KGUARD como método de propagación. La citada vulnerabilidad permite la ejecución remota de código sin autenticación y se encuentra en aquellos dispositivos KGUARD DVR con firmware anterior a 2017, de los cuales se identifican hasta 3000 dispositivos actualmente expuestos online. El análisis de las botnets, bautizadas como mirai_ptea y mirai_aurora, revela que utilizan los proxys de Tor para comunicarse con el C2 y el algoritmo TEA para ocultar datos sensibles, siendo su objetivo final la realización de ataques DDoS. Los investigadores han observado una actividad constante de 2.000 intentos de infección diarios, con picos de hasta 15.000 intentos. Territorialmente, la mayor parte de las infecciones se ubican en Estados Unidos, Corea del Sur y Brasil; aunque su alcance es mundial.

Información completa: https://blog.netlab.360.com/mirai_ptea-botnet-is-exploiting-undisclosed-kguard-dvr-vulnerability-en/