Actualización de Ankura CTIX FLASH – 2 de agosto de 2022 – Seguridad

0
22

Para imprimir este artículo, todo lo que necesita es estar registrado o iniciar sesión en Mondaq.com.

Actividad de ransomware/malware

Nuevo marco de ataque basado en chino “Manjusaka” utilizado en campañas de Maldoc

Los investigadores de Cisco Talos descubrieron un marco de ataque relativamente nuevo denominado “Manjusaka” que imita el popular marco Cobalt Strike. Cobalt Strike es un marco ofensivo que permite a los probadores de penetración y piratas informáticos éticos implantar y administrar balizas fácilmente durante las pruebas de seguridad, pero los actores de amenazas maliciosas también han puesto sus manos en la herramienta. Debido a la popularidad de la herramienta Cobalt Strike, muchos productos antivirus y de detección de endpoints detectan las balizas que coloca en las máquinas de las víctimas. El riesgo de detección llevó a los actores de amenazas avanzadas a desarrollar sus propios marcos. El marco de Manjusaka utiliza Golang para programar su servidor de comando y control (C2) y su interfaz de usuario, mientras que los implantes que se instalan en los dispositivos de las víctimas están escritos en Rust. Los implantes son troyanos de acceso remoto que llegan a los equipos de las víctimas a través de un documento malicioso de Microsoft Word. Tienen múltiples funcionalidades en dispositivos Windows y Linux, como ejecución de comandos, recolección de credenciales, capturas de pantalla y capacidades de administración de archivos. Los investigadores descubrieron un proyecto C2 en GitHub que presenta la misma interfaz de usuario C2 escrita en el idioma chino simplificado que usa Manjusaka. El servidor C2 se basa en Gin Web Framework e interactúa con los implantes mediante solicitudes HTTP. Las comunicaciones también se pueden cifrar mediante una clave criptográfica. Al analizar los implantes de Rust, los investigadores también notaron que el malware no usa el repositorio de biblioteca predeterminado “crates.io”. En cambio, se configura manualmente para usar un espejo de paquete administrado por la Universidad de Ciencia y Tecnología de China. Esto, junto con los hallazgos de OSINT, dio como resultado que el malware se atribuyera a la región de GuangDong de China, aunque sus operadores pueden residir en otros lugares. Curiosamente, las campañas en las que se utilizó Manjusaka también instalaron una baliza Cobalt Strike en el dispositivo de la víctima. Debido a la naturaleza de código abierto del marco C2, es posible que este malware se vuelva popular fuera de sus operadores originales. Los analistas de CTIX recomiendan bloquear hashes e IOC conocidos relacionados con el marco de Manjusaka y utilizar la detección de puntos finales para defenderse de los implantes.

El cargador de malware de acceso como servicio “Gootkit” resurge con una cadena de infección actualizada

“Gootkit”, un cargador de malware que utiliza el modelo de acceso como servicio (AaaS), ha resurgido recientemente con técnicas y procedimientos actualizados. Los investigadores de Trend Micro detallaron su última rutina de infección, que involucra el envenenamiento de optimización de motores de búsqueda (SEO) que lleva a la víctima a hacer clic en un sitio web comprometido por el operador de Gootkit. Una vez que la víctima accede al sitio web, se muestra un foro abierto de apariencia legítima que responde directamente a la consulta de búsqueda inicial de la víctima. Este foro contiene un archivo ZIP que contiene un archivo JavaScript malicioso que, una vez descargado y abierto, genera un script ofuscado que agrega código cifrado al registro a través del relleno y configura tareas programadas para garantizar la persistencia. Luego, el código en el registro se carga a través de PowerShell para reconstruir un binario Cobalt Strike que se ejecuta solo en memoria (es decir, ejecución “sin archivos”). Si bien gran parte de la infección de la cadena de infección más reciente es similar a los ataques que ocurrieron anteriormente en 2020, los investigadores observaron las siguientes pequeñas actualizaciones: primero, la consulta de búsqueda aprovecha las plantillas de documentos legales en lugar de los instaladores de software gratuito, y el segundo es el código encriptado agregado al registro ahora usa un algoritmo de reemplazo de texto personalizado en lugar de la codificación base64. Los pequeños cambios indican que “Gootkit Loader todavía se está desarrollando activamente y ha demostrado ser exitoso en comprometer a las víctimas desprevenidas”. Los investigadores también explicaron que, a fines de julio, el sitio web analizado ya no es accesible, lo que se espera con el envenenamiento de SEO. Se puede ver un análisis en profundidad del cargador de Gootkit, así como los indicadores de compromiso, en el informe de Trend Micro vinculado a continuación.

Actividad del actor de amenazas

Compañía eléctrica de Luxemburgo rescatada por BlackCat

Un reciente ataque de ransomware contra la empresa de suministro de gas y electricidad de Luxemburgo, Creos, ha sido reclamado por los actores de amenazas de ransomware BlackCat. Alrededor del 22 de julio de 2022, los propietarios de Creos informaron un ataque cibernético significativo que indicaba que “los piratas informáticos extrajeron una cantidad de datos de los sistemas informáticos o los piratas informáticos los hicieron inaccesibles” y que la exfiltración de información de identificación personal era plausible. El grupo de amenazas BlackCat, también rastreado como ALPHV y el supuesto cambio de marca de Darkside, es una notoria organización de ransomware como servicio (RaaS) conocida por su uso inusual de Rust en sus cargas maliciosas y vínculos subyacentes con otras organizaciones de amenazas responsables de grandes ataques a la infraestructura crítica. Después de reclamar la responsabilidad del ataque a Creos, los actores de BlackCat amenazaron con filtrar 180.000 archivos (150 gigabytes) de datos del ataque si no se pagaba el rescate. Actualmente se desconoce cuáles son las demandas de rescate; Sin embargo, los datos extraídos supuestamente incluyen información de identificación personal, como correos electrónicos, pasaportes, documentos legales y facturas mensuales de los consumidores. CTIX continuará monitoreando las consecuencias de este ataque de ransomware y proporcionará actualizaciones adicionales una vez que se publique más información.

Los actores de amenazas cambian a nuevos métodos de ataque después de las actualizaciones de bloqueo de macros

Recientemente, Microsoft lanzó una actualización a sus plataformas de Office para bloquear automáticamente las macros al abrir un documento o una hoja de cálculo. Desde esta actualización, los actores de amenazas han estado intentando encontrar nuevas formas de comprometer los activos sin el uso de documentos habilitados para macros de Office. Según las estadísticas de Proofpoint, el uso de archivos adjuntos maliciosos habilitados para macros en campañas de ingeniería social ha disminuido aproximadamente un 66 % desde la actualización. Sin embargo, han surgido algunos métodos nuevos de compromiso en todo el panorama de amenazas. En lugar de documentos habilitados para macros, las amenazas se están desplazando hacia el uso de archivos de imagen de Windows (ISO), archivos RAR (RAR) y archivos de acceso directo de Windows (LNK) como archivo malicioso en las campañas de ingeniería social. Una campaña reciente dirigida a usuarios coreanos mostró el uso de estas nuevas tácticas. Los actores de amenazas lanzaron una campaña de phishing que contenía correos electrónicos con temas de facturas con un archivo ISO adjunto. Una vez que el archivo ISO se abre en el sistema del usuario, un archivo LNK recopila información del hardware del dispositivo y ejecuta una biblioteca de enlaces dinámicos (DLL) maliciosa. Con el panorama de amenazas en constante cambio, los actores de amenazas continuarán encontrando nuevos métodos innovadores para comprometer los activos incluso frente a los nuevos protocolos de seguridad.

vulnerabilidades

La vulnerabilidad de ParseThru afecta las aplicaciones en la nube basadas en Golang

Investigadores de la firma israelí de ciberseguridad Oxeye han informado sobre una nueva vulnerabilidad de contrabando de parámetros conocida como “ParseThru”. Esta vulnerabilidad afecta a la API basada en Golang, que podría ser explotada por actores de amenazas para eludir las validaciones y obtener acceso no autorizado a aplicaciones en la nube vulnerables. La falla fue causada por un cambio de comportamiento reciente implementado en la lógica de análisis de URL de Golang en las compilaciones 1.17 y posteriores que entra en conflicto con las aplicaciones de Golang que ejecutan versiones anteriores del marco. En versiones anteriores de Golang, se utilizaba un carácter de punto y coma (“;”) como delimitador, dividiendo las URL para producir múltiples parámetros de consulta. Sin embargo, en las versiones 1.17 y posteriores, el punto y coma ya no es válido y hace que el método “parseQuery” devuelva un error. En los estudios de caso de Oxeye, esta vulnerabilidad se puede explotar cuando dos aplicaciones basadas en Golang que manejan puntos y comas de manera diferente interactúan entre sí. Por ejemplo, una aplicación orientada al usuario que ejecuta la versión 1.17 podría enviar una solicitud maliciosa que contiene punto y coma a un servicio de back-end que ejecuta una versión anterior a la 1.17. En este escenario, la API pública ignoraría los puntos y coma y el servicio de backend los procesaría sin el punto y coma. Una vez que se eluden las validaciones, los atacantes podrían realizar más actividades no autorizadas. Los analistas de CTIX recomiendan que los administradores responsables de las aplicaciones y los servicios basados ​​en Golang actualicen a la última versión segura. Si todo el entorno de Golang no se puede actualizar de inmediato debido a las necesidades comerciales, los administradores deben desinfectar la consulta sin procesar para que cualquier entrada no válida de un punto y coma se rechace antes de la llamada al método.

La actualización FLASH quincenal de Ankura Cyber ​​​​Threat Investigations and Expert Services (CTIX) está diseñada para proporcionar inteligencia cibernética oportuna y relevante con respecto a eventos cibernéticos actuales o emergentes. Lo anterior es una colección de pistas de inteligencia sobre amenazas cibernéticas reunidas en los últimos días y, por lo general, incluye inteligencia de alto nivel relacionada con la actividad reciente de grupos/actores de amenazas y vulnerabilidades recientemente identificadas que afectan a una amplia gama de industrias y víctimas. No dude en comunicarse con Flash (flash@ankura.com) si necesita contexto adicional y con el equipo de CTIX (ctix@ankura.com) para consultas de inteligencia sobre amenazas.

El contenido de este artículo pretende proporcionar una guía general sobre el tema. El consejo de especialistas debe ser buscado de acuerdo a sus circunstancias especificas.

ARTÍCULOS POPULARES SOBRE: Tecnología de Estados Unidos

Fusiones y adquisiciones en el espacio FinTech-Comment

Katten Muchin Rosenman LLP

“Las fusiones y adquisiciones de FinTech se han convertido en la segunda área más grande de inversión en tecnología emergente: según FT Partners, hubo 1485 acuerdos de fusiones y adquisiciones en el espacio de FinTech por un total de $ 348,500 millones en 2021”.

.

LEAVE A REPLY

Please enter your comment!
Please enter your name here