Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín semanal ciberseguridad 28 de febrero - 4 de marzo
Daxin: puerta trasera altamente sofisticada
El equipo de investigadores de Symantec ha publicado un artículo informando sobre una nueva puerta trasera a la que han denominado Daxin, que atribuyen a actores vinculados a China. Según Symantec, se trataría del malware más avanzado que habrían visto utilizando a agentes amenaza procedentes de dicho país. Daxin permite leer y escribir archivos e iniciar procesos, pero destaca sobre todo por su sigilo y por la forma en que realiza las comunicaciones con su Command & Control. El malware es capaz de secuestrar conexiones TCP/IP legítimas con el objetivo de conseguir un intercambio de claves con su par remoto y, de esta manera, consigue abrir un canal de comunicación cifrado para recibir comandos y enviar respuestas ocultándose entre el tráfico legítimo y evitando así las soluciones de seguridad. Otra funcionalidad destacada es la capacidad que tiene de crear un nuevo canal de comunicación a través de múltiples equipos infectados de una misma red usando un solo comando para un conjunto de nodos. Gracias a ello, consigue restablecer rápidamente las conexiones y los canales de comunicación cifrados. Symantec ha identificado a Daxin en organizaciones gubernamentales, así como en entidades de los sectores de telecomunicaciones, transporte e industria de interés estratégico para China. Los ataques observados se remontan a noviembre de 2021 pero destacan que la muestra más antigua que se ha podido identificar data de 2013.
Más info: https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/daxin-backdoor-espionage
Vulnerabilidad crítica en GitLab
GitLab ha publicado una actualización de seguridad que corrige un total de 7 vulnerabilidades que afectan a GitLab Community Edition (CE) y Enterprise Edition (EE). Entre los fallos de seguridad destaca el identificado como CVE-2022-0735, que cuenta con una puntuación CVSS de 9.6. La explotación de esta vulnerabilidad podría permitir a un atacante sin autenticar obtener un token de registro de un runner, lo que posibilitaría la ejecución remota de código. Pese a que los detalles técnicos de la vulnerabilidad no han sido publicados, la explotación de esta sería de baja complejidad y no requeriría privilegios ni interacción por parte del usuario para ser explotada. Esta vulnerabilidad afecta a todas las versiones desde la 12.10 a la 14.6.4, la 14.7 a la 14.7.3, y todas las versiones desde la 14.8 a la 14.8.1. Consecuentemente, GitLab ha recomendado actualizar a las versiones 14.8.2, 14.7.4, y 14.6.5 de GitLab Community Edition (CE) y Enterprise Edition (EE).
Todos los detalles: https://about.gitlab.com/releases/2022/02/25/critical-security-release-gitlab-14-8-2-released/
Distribución de TeaBot a través de la tienda de Google Play
Investigadores de Cleafy han publicado un nuevo artículo sobre el troyano bancario TeaBot, también conocido como Anatsa, que habría empezado a distribuirse a través de aplicaciones fraudulentas alojadas en la tienda de Google Play. Este troyano bancario surgía a principios de 2021 y se distribuía fundamentalmente mediante campañas de smishing. Las nuevas muestras, sin embargo, han pasado a usar Google Play como medio para su distribución, ocultándose un dropper de Teabot tras una aplicación de escaneo de códigos QR (QR Code & Barcode – Scanner). Al descargar la aplicación, el dropper solicitará al usuario que la actualice mediante un mensaje emergente. Esta supuesta actualización no será realmente una actualización, sino que se descargará una segunda aplicación (“QR Code Scanner: Add-On”) desde una fuente no confiable. Esta segunda aplicación es la que ya se ha identificado como Teabot, que solicita al usuario permisos a servicios de accesibilidad para obtener privilegios como ver y controlar la pantalla y ver y realizar acciones. Las últimas campañas de Teabot han pasado a soportar idiomas como el ruso, el eslovaco o el chino mandarín, por lo que el malware podría estar expandiendo sus objetivos a nivel geográfico.
Más: https://www.cleafy.com/cleafy-labs/teabot-is-now-spreading-across-the-globe
