Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities.jpg)
Boletín de Ciberseguridad, 26 – 30 de junio
Corregidas vulnerabilidades en el servidor DNS BIND
El Consorcio de Sistemas de Internet (ISC) ha publicado avisos de seguridad para abordar una serie de vulnerabilidades que afectan a varias versiones de Berkeley Internet Name Domain (BIND), el software de servidor DNS más implementado.
Entre las vulnerabilidades corregidas, se encuentra la CVE-2023-2828, CVE-2023-2829 y CVE-2023-2911, todas ellas con CVSS 7.5, cuya explotación exitosa podría agotar toda la memoria disponible en un servidor de destino, haciéndolo no disponible y causando DoS.
Si bien ISC indicó no tener evidencia acerca de la explotación de los fallos, recomienda encarecidamente a los usuarios de BIND actualizar el software a la última versión.
Nueva campaña de Volt Typhoon explotando vulnerabilidad en Zoho ManageEngine
La APT conocida como Volt Typhoon o Bronze Silhouette ha sido detectada utilizando una vulnerabilidad crítica.
Según una investigación realizada por CrowdStrike, que rastreó al adversario bajo el nombre de Vanguard Panda, observó al grupo de ciberespionaje en una campaña reciente apuntando a infraestructuras críticas en la región del Pacífico.
En dicha campaña, el grupo personalizó sus tácticas utilizando exploits y técnicas de movimiento lateral, además de la vulnerabilidad CVE-2021-40539 en ManageEngine ADSelfService Plus de Zoho, una solución de administración de contraseñas e inicio de sesión único. Permitiéndoles ejecutar código de forma remota y enmascarar su web Shell como un proceso legítimo borrando los registros a medida que avanzaba.
Sin embargo, los investigadores mencionan que, a pesar de los intentos de cubrir sus huellas, fueron detectados más web shells, puertas traseras, el código fuente de Java y los archivos compilados de su servidor web Apache Tomcat, lo que llevó a su descubrimiento. No obstante, Volt Typhoon tuvo acceso generalizado al entorno de la víctima durante un período prolongado, demostrando familiaridad con la infraestructura objetivo y siendo diligente en limpiar sus huellas.
Mockingjay: nueva técnica que permite eludir detección EDR
Investigadores de ciberseguridad de Security Joes descubrieron una nueva técnica de inyección de procesos denominada Mockingjay, la cual podría permitir a actores amenaza eludir EDR y otros productos de seguridad para ejecutar sigilosamente código malicioso en sistemas vulnerados.
Mockingjay se distingue de otros enfoques porque no utiliza llamadas a la API de Windows de las que se abusa habitualmente, ni establece permisos especiales, ni realiza asignaciones de memoria, ni siquiera inicia un hilo, eliminando así muchas posibles oportunidades de detección.
Los analistas de Security Joes descubrieron la DLL msys-2.0.dll dentro de Visual Studio 2022 Community, que tenía una sección RWX por defecto de 16 KB de tamaño. Al aprovechar esta sección RWX preexistente, se pueden aprovechar las protecciones de memoria inherentes que ofrece, eludiendo eficazmente cualquier función que ya pueda haber sido detectada por los EDR.
Descubierta campaña contra empresas de alojamiento web
Investigadores de Unit 42 de Palo Alto descubrieron una campaña activa que estuvo dirigida a empresas de alojamiento web e IT durante más de dos años.
La campaña, denominada CL-CRI-0021 o Manic Menagerie 2.0, tenía como objetivo aprovechar los recursos de servidores comprometidos mediante la instalación de mineros de criptomonedas en máquinas para obtener ganancias monetarias.
Además, desplegaba web shells para obtener un acceso sostenido a los recursos internos de los sitios web comprometidos. Los actores de amenaza convertían los sitios web legítimos secuestrados en servidores de comando y control (C2) a gran escala, afectando a miles de páginas web.
Esta actividad maliciosa se realizaba desde sitios web legítimos con buena reputación, lo que dificultaba su detección por parte de soluciones de seguridad. Se emplearon múltiples técnicas para evadir la detección de herramientas de monitoreo y productos de ciberseguridad.
Asimismo, se utilizaron cargas útiles, herramientas personalizadas y herramientas legítimas disponibles públicamente para evitar el reconocimiento del malware conocido. Se cree que este actor de amenazas estaba activo desde al menos 2018, atacando empresas de alojamiento web en Australia.
Análisis de Dark Power Ransomware
Investigadores de Heimdal Security han publicado un análisis acerca del ransomware Dark Power, el cual fue detectado a principios de 2020. Se trata de un ransomware muy efectivo y escrito por NIM, que emplea una técnica de cifrado que genera aleatoriamente una cadena ASCII única que se utiliza para obtener la clave de descifrado.
Desde Heimdal indican que la distribución se realizaría a través de correos de phishing, pudiendo también realizarse a través de la explotación de vulnerabilidades. Tras la infiltración en el sistema, comienza un flujo de trabajo en el que inicia la clave de cifrado, cifra la cadena binaria, finaliza procesos y servicios, además puede crear la exclusión de archivos y carpetas.
En cuanto al rescate, los actores solicitan aproximadamente 10.000$, incluyendo en la nota la dirección de criptomonedas Monero y un enlace TOR a su sitio web. Según los datos, Dark Power se habría dirigido hacia entidades de diferentes sectores como la educación, salud, fabricación y producción de alimentos, identificándose muestras en EE.UU., Perú, Turquía, Francia, Israel, Egipto, Argelia y República Checa. Desde su resurgimiento el pasado febrero, habría vulnerado al menos 10 empresas.
Imagen: Freepik.
