Boletín semanal de ciberseguridad, 6 — 10 de junio

Telefónica Tech    10 junio, 2022
Foto: Christin Hume / Unsplash

LockBit amenaza a Mandiant tras vincularlos con Evil Corp

Durante la tarde del 6 de mayo, el grupo de ransomware LockBit 2.0 anunciaba en su página de publicaciones de la dark web el supuesto compromiso de la firma de ciberseguridad Mandiant y su intención de publicar unas horas después un total de 356.841 archivos supuestamente robados a la firma.

La publicación incluía un archivo denominado “mandiantyellowpress.com.7z”, que estaría relacionado con el dominio registrado ese mismo día, mandiantyellowpress[.]com, que redireccionaba en ese momento a ninjaflex[.]com.

Las amenazas de LockBit se producían tras la publicación por parte de Mandiant de un artículo en el que indicaban que el grupo de origen ruso Evil Corp habría comenzado a utilizar el ransomware LockBit en sus objetivos para evadir las sanciones estadounidenses.

Desde que se conocía la amenaza, desde Mandiant han mantenido en todo momento que no contaban con evidencias de que se hubiese producido ningún tipo de intrusión, pero indicaban que se encontraban monitorizando la situación.

Una vez publicados los datos, según reporta el medio Bleeping Computer que los ha podido analizar, se confirma que no se habría producido ningún tipo de compromiso. Lo que han publicado desde LockBit es un mensaje en el que niegan las acusaciones realizadas por lo que denominan “prensa amarillista” (refiriéndose a Mandiant) sobre una posible relación entre LockBit y Evil Corp.

El grupo indica que los scripts y herramientas para realizar ataques están disponibles de forma pública y pueden ser utilizados por cualquier usuario, de forma que una similitud entre las herramientas utilizadas por dos grupos no significa que se puedan vincular a una identidad única.

Asimismo, en su mensaje incluyen una línea final desvinculándose de cualquier tipo de ideología política o servicio especial de cualquier país.

Más info: https://www.bleepingcomputer.com/news/security/mandiant-no-evidence-we-were-hacked-by-lockbit-ransomware/

* * *

​​Symbiote: nuevo y sigiloso malware contra sistemas Linux

Investigadores de BlackBerry e Intezer publicaron ayer información sobre un malware de Linux al que han denominado Symbiote. El malware, detectado originalmente en ataques al sector financiero de Latinoamérica en noviembre de 2021, destaca por sus capacidades altamente avanzadas a la hora de ocultarse y esconder procesos.

Esto lo consigue, en parte, al no constar de un ejecutable en sí mismo, si no que se trata de una librería de objeto compartido que se carga en todos los procesos en ejecución mediante la directiva LD_PRELOAD, tras lo que facilita al atacante funciones rootkit, capacidades de robo de contraseña y acceso remoto.

Al cargarse en numerosos procesos, el malware puede manipular las respuestas de distintas herramientas y funciones del sistema, permitiendo que usuarios e investigadores solo vean una versión sesgada de los resultados que buscan.

Para ello, utiliza, entre otros, la función Berkeley Packet Filter, observada en puertas traseras desarrolladas por Equation Group (NSA) y que permite esconder tráfico malicioso y determinar qué paquetes son visibles cuando un administrador intenta capturar tráfico.

Más info: https://www.intezer.com/blog/research/new-linux-threat-symbiote/

* * *

Ataques contra empresas de telecomunicaciones y proveedores de servicios de red

Las agencias estadounidenses NSA, CISA y FBI, publicaron un aviso conjunto de seguridad alertando sobre la detección de ataques perpetrados por actores maliciosos contra empresas de telecomunicaciones y proveedores de servicios de red a nivel global.

Según detallan, esta campaña está llevándose a cabo mediante la explotación de vulnerabilidades existentes, principalmente en dispositivos de red, señalando hasta un total de 16 fallos de seguridad repartidos en diferentes marcas.

Asimismo, el aviso destaca que, al conseguir un punto de apoyo inicial en una organización de telecomunicaciones o proveedor de servicios de red, estos actores maliciosos pueden identificar usuarios y sistemas críticos encargados de mantener la seguridad de las infraestructuras críticas de un país.

En relación a la atribución de estas campañas, la alerta no ha identificado a un actor concreto que haya llevado a cabo estas intrusiones, denota de ello que el objetivo de la misma es instar a todas las organizaciones a parchear el listado de vulnerabilidades y aplicar las medidas de mitigación facilitadas con el fin de prevenir posibles incidentes de seguridad.

Más info: https://www.cisa.gov/uscert/ncas/alerts/aa22-158a​​

* * *

Campaña de espionaje de larga duración del actor Aoqin Dragon

El equipo de investigadores de SentinelLabs ha publicado una investigación en la que informan sobre el descubrimiento de una APT vinculada a un estado, denominada Aoqin Dragon, y que habría estado realizando campañas de espionaje sin ser detectada durante 10 años.

En concreto, este nuevo actor habría desarrollado su actividad contra organizaciones gubernamentales, educativas y compañías del sector de las telecomunicaciones, situadas todas ellas geográficamente en el sudeste asiático.

Según los analistas, Aoqin Dragon habría desarrollado tres importantes mecanismos de infección entre sus TTPs; entre 2012 y 2015 emplearon campañas de malspam con documentos office adjuntos que explotaban las vulnerabilidades CVE-2012-0158 y CVE-2010-3333; entre 2016 y 2017 su vector de entrada consistía en ofuscar ejecutables maliciosos enmascarados en iconos de antivirus falsos; y desde 2018, utilizan un archivo de acceso directo de disco extraíble que al ejecutarse permite la inyección de código malicioso.

Asimismo, Aoqin Dragon destaca por utilizar dos backdoors, Heyoka y Mongall, para exfiltrar información y permitir la comunicación con las redes de sus víctimas.

Más info: https://www.sentinelone.com/labs/aoqin-dragon-newly-discovered-chinese-linked-apt-has-been-quietly-spying-on-organizations-for-10-years/

* * *

Actualizaciones, PoCs y explotación activa de vulnerabilidad 0-day en Atlassian

Después de que Atlassian publicara la semana pasada una alerta de seguridad sobre la vulnerabilidad 0-day CVE-2022-26134 en sus productos Confluence Server y Data Center, la compañía publicó el viernes por la tarde una actualización para corregir dicho fallo ante la proliferación de intentos de explotación de la misma.

Desde Atlassian se ha instado a los clientes a actualizar a las versiones 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4, y 7.18.1 de sus productos cuanto antes, y han publicado también medidas de mitigación temporales para aquellos que no puedan actualizar su software inmediatamente.

El mismo viernes se hicieron públicos varios exploits fáciles de implementar y que mostraban como aprovechar la vulnerabilidad para crear nuevas cuentas de administrador, forzar peticiones DNS, recopilar información y crear shells inversas, detectándose desde entonces numerosos intentos de explotación, tal y como recogen los investigadores de Grey Noise.

Más info: https://www.bleepingcomputer.com/news/security/exploit-released-for-atlassian-confluence-rce-bug-patch-now/

Deja una respuesta

Tu dirección de correo electrónico no será publicada.