Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities.jpg)
Boletín de Ciberseguridad, 2 - 8 de septiembre
DB#JAMMER: campaña maliciosa contra servidores Microsoft SQL
El equipo de investigadores de Securonix ha publicado una investigación sobre una campaña maliciosa denominada DB#JAMMER en la que actores maliciosos están atacando servidores MS SQL para distribuir ransomware.
No se ha podido concretar al grupo detrás de estos incidentes, no obstante, se ha detallado que la metodología empleada por ellos seguiría un mismo patrón, el cual consiste en conseguir acceso inicial mediante ataques de fuerza bruta en los servidores MS SQL.
Consecuentemente, comienzan a realizar tareas de enumeración y reconocimiento de la red con el objetivo de que en la siguiente fase se consiga actuar contra el firewall del sistema y establecer persistencia conectándose a un recurso compartido SMB remoto para transferir archivos hacia y desde el sistema de la víctima, así como instalar herramientas como Cobalt Strike.
En último lugar, esta campaña finaliza con la distribución del ransomware FreeWorld, al que se considera que se trata de una variante del ransomware denominado Mimic.
Nueva variante del malware Agent Tesla
FortiGuard Labs ha descubierto una campaña de phishing empleada para propagar una nueva variante de Agent Tesla, familia de malware empleada como Malware-as-a-Service y que emplea un Troyano de Acceso Remoto (RAT) y un data stealer para conseguir acceso a los dispositivos.
Esta campaña empieza con un email de phishing que incluye un archivo Excel empleado para, una vez abierto por el usuario, explotar la vulnerabilidad CVE-2017-11882/CVE-2018-0802, que permite la ejecución de código remoto. De esta forma, se descarga e instala Agent Tesla, permitiendo así al actor amenaza el robo de información sensible de la víctima, incluyendo credenciales, información del keylogging y capturas de pantalla del dispositivo.
Por último, el malware, que cifra sus módulos más relevantes para evitar ser analizado, transmite la información sensible robada a través de emails con protocolo SMTP.
Nuevas vulnerabilidades 0-day de Apple activamente explotadas
La compañía Apple ha emitido un aviso de seguridad en donde corrige dos nuevas vulnerabilidades 0-day que están siendo activamente explotadas.
En concreto, los fallos de seguridad han sido registrados como CVE-2023-41064, el cual es una debilidad de desbordamiento de búfer que se activa al procesar imágenes creadas con fines malintencionados y puede provocar la ejecución de código arbitrario.
Paralelamente, la CVE-2023-41061, que es un problema de validación que puede explotarse mediante un archivo adjunto malicioso. Investigadores de Citizen Lab han publicado una investigación en la que detallan que estas vulnerabilidades fueron aprovechadas mediante una cadena de exploits de iMessage zero-click llamada BLASTPASS que se utilizó para implementar el software Pegasus de NSO Group a través de archivos adjuntos PassKit que contienen imágenes maliciosas.
Apple recomienda a sus usuarios actualizar sus activos a las siguientes versiones macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 y watchOS 9.6.2.
Android parchea una vulnerabilidad explotada activamente y tres críticas
Android ha publicado un nuevo boletín en el que incluye las vulnerabilidades parcheadas en la actualización de seguridad de septiembre, incluyendo una de alta severidad que parece estar siendo explotada, de acuerdo con Google.
Esta vulnerabilidad (CVE-2023-35674) permitiría a un actor amenaza realizar una escalada de privilegios sin necesidad de interacción con el usuario. En dicho boletín se afirma haber parcheado un total de 34 vulnerabilidades, entre ellas tres de severidad crítica (CVE-2023-35658, CVE-2023-35673, CVE-2023-35681) que permitirían a un atacante ejecutar código remotamente sin requerir privilegios de ejecución adicionales.
La actualización de seguridad va dirigida a los dispositivos con las versiones de Android 11, 12 y 13, por lo que se recomienda a los usuarios de estas versiones instalar la actualización lo antes posible, mientras que, en caso de tener un dispositivo con Android 10 o inferior, se recomienda actualizar a un dispositivo con una versión más reciente.
Investigación de técnicas utilizadas en ataques del actor amenaza Storm-0558
El pasado mes de julio Microsoft publicó un artículo en el que informaba cómo mitigó un ataque del actor amenaza conocido como Storm 0558 y que estaba dirigido a cuentas de correo electrónico de hasta 25 entidades distintas entre agencias del gobierno de EE. UU, incluido el Departamento de Estado, e instituciones europeas.
Según los datos aportados recientemente, Storm-0558 pudo llevar a cabo el ataque debido a que encontró información sobre una clave digital después de comprometer una cuenta corporativa de un ingeniero de Microsoft en abril del año 2021. Gracias a la exfiltración de dicha clave, el actor amenaza pudo crear sus propios tokens de autenticación para acceder a las cuentas de correo electrónico Outlook de funcionarios gubernamentales de alto rango.
En base a estos hechos, Microsoft revocó todas las claves de firma MSA válidas para evitar acceder a otras claves comprometidas y señala que no han identificado ninguna evidencia de accesos no autorizados a cuentas de clientes empleando la misma técnica de falsificación de tokens de autenticación.
Imagen Rawpixel / Freepik.
