Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 9 - 15 de diciembre
Nuevas técnicas de inyección de procesos indetectables por las soluciones EDR
Investigadores de seguridad de SafeBreach han descubierto 8 nuevas técnicas de inyección de procesos que aprovechan los grupos de hilos de Windows para desencadenar la ejecución de código malicioso como resultado de acciones legítimas.
Estas variantes de inyección han sido apodadas con el nombre de Pool Party, funcionan en todos los procesos, sin limitaciones y no son detectadas por las principales soluciones de detección y respuesta (EDR). En sus pruebas, SafeBreach ha conseguido un 100% de éxito, ya que ninguno de los EDR fue capaz de detectar o prevenir los ataques de Pool Party.
APT Sandman utiliza KEYPLUG como puerta trasera
Se ha descubierto que la APT Sandman está vinculada a actores de amenaza chinos y está utilizando la puerta trasera KEYPLUG, concretamente el clúster STORM-0866/Red Dev 40. Tanto PwC como Microsoft han destacado esta conexión durante la pasada edición del congreso de ciberseguridad LABScon 2023. Se ha descubierto que en los sistemas de las víctimas coexisten el malware LuaDream y la puerta trasera KEYPLUG.
Además, Sandman y STORM-0866/Red Dev 40 realizan prácticas similares de control y gestión de infraestructuras, como pueden ser la elección de proveedores de alojamiento o el conjunto de reglas utilizadas para nombrar los dominios. La implementación de LuaDream y KEYPLUG sugiere prácticas de desarrollo muy parecidas y que ambos poseen funciones y diseños similares, sugiriendo así una funcionalidad equivalente.
Lazarus despliega tres nuevos malwares en una nueva campaña
Los investigadores de Cisco Talos han descubierto una nueva operación atribuida a la APT norcoreana Lazarus, a la que han denominado Operation Blacksmith. En esta campaña, la APT ha empleado tres nuevos malwares programados en D, de los cuales dos son troyanos de acceso remoto (RAT), a los que han nombrado NineRAT y DLRAT, mientras que el tercero se trataría de un descargador bajo el nombre de BottomLoader.
De acuerdo con los investigadores la operación comenzó en marzo de 2023 y sus objetivos han sido principalmente los sectores industrial, agricultura y seguridad. Asimismo, durante la campaña Lazarus ha explotado la vulnerabilidad CVE-2021-44228 CVSS 10.0, conocida como Log4Shell, para desplegar los tres malwares.
Hay que destacar que Log4Shell es un fallo que afecta a la biblioteca de Apache Foundation Log4j y permitiría a un atacante ejecutar código remoto.
KV-botnet está siendo empleada por el actor amenaza Volt Typhoon
Los investigadores de Black Lotus Team de Lumen Technologies han detectado y publicado un análisis de una nueva botnet a la que han denominado KV-botnet. Esta botnet, formada por small office/home office (SOHO) routers, es empleada por diferentes actores amenaza como red oculta de transferencia de datos.
Los investigadores destacan que la actividad de KV-botnet, activa desde febrero de 2022, ha aumentado considerablemente desde agosto de 2023. Asimismo, existen dos clusters de actividad en la botnet, denominados KV y JDY. Mientras que el primero parece ser operado manualmente en ataques a entidades de alto valor añadido, el segundo realiza escaneos más amplios y resulta menos sofisticada técnicamente.
Según Black Lotus Team esta botnet estaría siendo operada por el actor amenaza de origen chino Volt Typhoon, también conocido como Bronze Silhouette, y empleada en ataques contra empresas de telecomunicaciones y entidades gubernamentales estadounidenses, entre otros.
El malware NKAbuse utiliza blockchain para realizar DDoS
Investigadores de seguridad de Kaspersky han informado del descubrimiento de un nuevo malware llamado NKAbuse, el cuál está basado en Go y es el primero que abusa de la tecnología NKN (New Kind of Network) para el intercambio de datos, lo que lo convierte en una amenaza sigilosa. NKAbuse ejecuta nodos de forma similar a la red Tor, lo que contribuye a tener más robustez, ser descentralizado y aumentar su capacidad de manejar volúmenes de datos significativamente altos.
Además de las capacidades DDoS, NKAbuse también actúa como un RAT en los sistemas vulnerados, lo que permite a sus operadores llevar a cabo la ejecución de comandos, la exfiltración de datos y realizar capturas de pantalla.
💬 Para recibir noticias y reflexiones de nuestros expertos en Ciberseguridad, suscríbete a CyberSecurityPulse, nuestro canal en Telegram: https://t.me/cybersecuritypulse
