Boletín semanal de ciberseguridad 4 – 10 diciembre

Telefónica Tech    10 diciembre, 2021

El gobierno catalán sufre ataque de DDoS

Según el comunicado emitido desde la Generalitat, el Centre de Telecomunicacions i Tecnologies de la Informació (CTTI) detectó el pasado viernes un ciberataque que comprometió más de 2.000 aplicaciones informáticas del organismo durante aproximadamente 3 horas. En concreto, el ataque sufrido fue de denegación de servicio (DDoS), consistente en el colapso de los servicios mediante el aumento del volumen de tráfico para que los servidores incrementen su tiempo de procesamiento. En relación a su origen, la Generalitat ha indicado que las primeras investigaciones señalan que podría tratarse de un ataque contratado a través de la dark web, aunque por el momento no hay ninguna confirmación al respecto. Varias páginas web y servicios dependientes de la Generalitat como La Meva Salut se vieron afectadas y también experimentaron problemas técnicos otros servicios como la televisión catalana, TV3 o Catalunya Ràdio. Finalmente, en un plazo de no más de tres horas, la situación quedó controlada y se retomó la normalidad tal y como ya ha asegurado el propio organismo.

Más detalles: https://govern.cat/salapremsa/notes-premsa/416324/nota

Emotet: nuevas campañas que utilizan Trickbot y Cobalt Strike en sus infecciones

Investigadores de CheckPoint han publicado un análisis sobre el resurgimiento de Emotet. Según los investigadores, en las nuevas campañas se ha observado el uso de Trickbot como vector de entrada, uno de los malware más utilizados, que en los últimos meses habría infectado hasta 140.000 víctimas en todo el mundo, con más de 200 campañas y miles de direcciones IP en dispositivos comprometidos. Trickbot, al igual que Emotet, se usa habitualmente para distribuir finalmente ransomware, como Ryuk o Conti. Desde CheckPoint analizan estas nuevas campañas donde se ha observado que Trickbot estaría distribuyendo Emotet, del cual señalan que habría mejorado sus capacidades con nuevas herramientas como: el uso de criptografía de curva elíptica en lugar de RSA, mejoras en sus métodos de aplanamiento del flujo de control o añadiendo a la infección inicial el uso de paquetes maliciosos de instalación de aplicaciones de Windows que imitan software legítimo. Por otro lado, cabe también destacar que investigadores de Cryptolaemus han detectado en los últimos días que Emotet estaría directamente instalando Cobalt Strike en los dispositivos comprometidos, lo que aceleraría el proceso de infección dando acceso inmediato a movimientos laterales, robo de datos o distribución de ransomware.

Toda la info: https://research.checkpoint.com/2021/when-old-friends-meet-again-why-emotet-chose-trickbot-for-rebirth/

Vulnerabilidad RCE en ​Windows 10 y 11

Investigadores de seguridad de Positive Security han descubierto una vulnerabilidad drive-by de ejecución remota de código en Windows 10 y 11. Este fallo se produce a través de Internet Explorer 11/Edge Legacy, el navegador predeterminado en la mayoría de los dispositivos Windows, y se desencadena a través de una inyección de argumentos en el URI handler por defecto de Windows ms-officecmd. Un atacante podría explotar esta vulnerabilidad a través de un sitio web malicioso que permita realizar una redirección a una URL creada por ms-officecmd. Cabe destacar que, para que el exploit funcione, Microsoft Teams debe estar instalado en el sistema. Desde Positive Security informaban del fallo a Microsoft el pasado mes de marzo, quien la descartaba en un primer momento. Sin embargo, tras la apelación de los investigadores pasaba ya a considerarse como un fallo crítico. En agosto, Microsoft lo corregía parcialmente, permitiéndose aún la inyección de argumentos.

Todos los detalles: https://positive.security/blog/ms-officecmd-rce

Vulnerabilidad 0-day en Apache Log4j

Se ha publicado una PoC para una vulnerabilidad 0-day, recientemente asignada como CVE-2021-44228, de ejecución de código en Apache Log4j, una librería de código abierto desarrollada en Java que permite a los desarrolladores de software guardar y escribir mensajes de registro que es utilizada en múltiples aplicaciones de compañías en todo el mundo. Este fallo permitiría ejecutar código malicioso en servidores o clientes de aplicaciones, siendo entre una de las más destacadas la que ejecutan versiones de Java del videojuego Minecraft, manipulando los mensajes de registro e, incluso, los mensajes introducidos en el chat del propio juego. Según los investigadores de LunaSec, las versiones de Java superiores a la 6u211, 7u201, 8u191 y 11.0.1 no están afectadas por este vector de ataque. Además, desde LunaSec indican que los servicios cloud de Steam y Apple iCloud también se han visto afectados. En último lugar, señalar que las versiones de apache log4j afectadas son la 2.0 hasta la 2.14.1, corrigiéndose este fallo de seguridad en la versión 2.15.0.

Descubre más información: https://www.lunasec.io/docs/blog/log4j-zero-day/

Análisis sobre el actor estatal ruso Nobelium

Investigadores de Mandiant han publicado un artículo detallando operaciones llevadas cabo por Nobelium, actor asociado al Servicio de Inteligencia Exterior Ruso (SVR). Desde Mandiant señalan que entre las tácticas empleadas por este grupo para obtener el acceso inicial en la infraestructura de la víctima destacan: el uso de credenciales comprometidas en campañas de malware anteriores donde se empleó el stealer CRYPTBOT, compromiso de los proveedores de servicios en la nube (CSP) y abuso de las notificaciones push (MFA). Una vez conseguido el primer acceso, el actor intenta conseguir persistencia y escalar privilegios mediante el uso del protocolo RDP, empleando WMI y PowerShell para distribuir el backdoor BEACON en la red de la víctima. Este backdoor fue empleado más tarde para instalar una nueva herramienta a la que han denominado CEELOADER, un downloader que comunicaría vía HTTP con el C2 de Nobelium, y el cual distribuye Cobalt Strike. Además, desde Mandiant destacan el uso de servicios de proxies de IPs residenciales para autenticarse en los sistemas de la víctima y el uso de WordPress comprometidos donde alojan los payloads que darán lugar a la segunda etapa de la cadena de infección. Asimismo, desde la Agencia Nacional Francesa de Ciberseguridad (ANSSI) han emitido un comunicado donde especifican que desde el pasado mes de febrero se habrían detectado múltiples campañas contra organizaciones francesas provenientes del actor ruso.

Más info: https://www.mandiant.com/resources/russian-targeting-gov-business

Deja una respuesta

Tu dirección de correo electrónico no será publicada.