Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 14 - 20 diciembre
Fallo en Apache Struts2 activamente explotado
Microsoft Investigadores de ISC han observado que actores maliciosos comenzaron a explotar una vulnerabilidad recién descubierta en Apache Struts2. La vulnerabilidad, registrada como CVE-2024-53677, tiene una puntuación CVSSv4 de 9.5 y es de tipo path-traversal.
En caso de explotación, los atacantes podrían cargar archivos en directorios que deberían estar restringidos, lo que podría conducir a la ejecución remota de código u obtener control no autorizado sobre el sistema, si llegaran a cargar un webshell en la raíz web. El fallo parece relacionarse con una vulnerabilidad anterior, CVE-2023-50164, que no se solucionó adecuadamente, dando lugar a la amenaza actual. En este sentido, ISC informó de que los intentos de ataque actuales se han rastreado hasta la dirección IP 169.150.226[.]162.
Según Apache, para mitigar el riesgo los usuarios deben pasar a un nuevo mecanismo de Action File Upload. Además, se recomienda supervisar el tráfico de red para identificar y mitigar posibles amenazas.
Detectada una campaña “rogue RDP” atribuida a APT29
La APT Earth Koshchei, también denominada APT29 y Midnight Blizzard, fue descubierta en octubre de 2024 llevando a cabo una campaña de ataques “rogue RDP”. De acuerdo con lo publicado por los investigadores de Trend Micro, este tipo de ataques conlleva el uso de un relay RDPD, un servidor RDP falso y un archivo de configuración RDP malicioso, empleados con el objetivo de que los atacantes obtengan acceso al dispositivo de la víctima para robar información o distribuir malware. Aunque la campaña llevaba siendo preparada desde al menos agosto del mismo año, mes en el cual Earth Koshchei comenzó a obtener dominios maliciosos para la operación, el punto álgido de los ataques se detectó el 22 de octubre.
Según Trend Micro, este día la APT envió correos de phishing a miembros de gobiernos y de las fuerzas y cuerpos de seguridad, así como investigadores y otros objetivos ucranianos, que contenían el archivo de configuración RDP falso adjunto. Al ejecutarse, el archivo se conectaba a un servidor RDP extranjero operado por Earth Koshchei.
Nueva campaña de falsas alertas de actualización distribuye CoinLurker
Actores de amenazas están empleando falsas alertas de actualización de software para distribuir un nuevo stealer denominado CoinLurker. Las alertas son enviadas a los usuarios mediante sitios de WordPress comprometidos, correos electrónicos de phishing, redirecciones de publicidad maliciosa, solicitudes de verificación CAPTCHA falsas, descargas directas y enlaces compartidos por redes sociales y aplicaciones de mensajería.
Las alertas utilizan Microsoft Edge Webview2 para desencadenar la ejecución de la carga útil. Por su parte, CoinLurker está escrito en Go y emplea técnicas de ofuscación y anti-análisis de última generación, destacando la técnica de EtherHiding. Una vez lanzado, CoinLurker inicia comunicaciones con un servidor remoto utilizando un enfoque basado en sockets y procede a recopilar datos de directorios específicos asociados con Discord, Telegram, FileZilla y billeteras de criptomonedas que incluyen Bitcoin, Ethereum, Ledger Live y Exodus.
Detectada una campaña de phishing orientada al robo de credenciales de Microsoft Azure
Los investigadores de Unit 42 de Palo Alto Networks han detectado una nueva campaña de phishing dirigida al robo de credenciales de cuentas de infraestructura cloud de Microsoft Azure. Aunque los investigadores han afirmado que la campaña habría comenzado en junio de 2024, esta aún seguía activa en septiembre del mismo año. En concreto, el actor malicioso dirigía sus ataques contra entidades del sector industrial de Alemania y Reino Unido.
De esta manera, el atacante enviaba correos electrónicos de phishing a las víctimas que contenían links de HubSpot Free Form Builder y archivos PDF que se hacían pasar por archivos legítimos de DocuSign para redirigir a las víctimas hacia sitios web de robo de credenciales. Asimismo, desde Unit 42 destacan que aproximadamente 20 000 cuentas habrían sido comprometidas durante esta operación.
Incremento de ataques password spraying contra dispositivos Citrix Netscaler
Recientemente, Cloud Software Group, casa matriz de Citrix, ha detectado un aumento de los ataques de password spraying dirigidos a dispositivos Citrix Netscaler con el propósito de comprometer redes corporativas. Los atacantes emplean nombres de usuario genéricos y un amplio rango de direcciones IP dinámicas, lo que dificulta la eficacia de estrategias de mitigación tradicionales, como el bloqueo de IP y la limitación de velocidad. Además, estos ataques pueden sobrecargar dispositivos configurados para volúmenes normales de autenticación, afectando su disponibilidad.
En respuesta, la compañía ha recomendado medidas como implementar autenticación multifactor, bloquear los endpoints pre-nFactor no esenciales y utilizar cortafuegos de aplicaciones web (WAF). Cabe destacar que estas mitigaciones solo aplican a versiones de firmware 13.0 o superiores en entornos locales o en la nube, mientras que los clientes de Gateway Service no requieren acciones adicionales.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
