Actualización del compromiso de SolarWinds
Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre:
- Los investigadores de FireEye han publicado un análisis que pone el foco en el actor amenaza al que se atribuye el incidente, llamado UNC2452. Este grupo utiliza una combinación de técnicas para moverse lateralmente en la nube de Microsoft 365: el robo de certificados de firma de tokens en ADFS; la modificación o adición de dominios de confianza en Azure AD; el compromiso de credenciales de usuarios locales con altos privilegios sincronizados con M365; y, por último, el abuso de los permisos de una app legítima mediante la instalación de una puerta trasera.
- Por su parte, los investigadores de Symantec han descubierto una pieza adicional de malware que habría sido utilizada como payload secundario en varios de los sistemas comprometidos por UNC2452. Este malware, denominado Raindrop, es un cargador destinado principalmente a la instalación de Cobalt Strike.
- La compañía de software MalwareBytes ha admitido en un comunicado haberse visto comprometida por UNC2452, aunque no a través de SolarWinds Orion, sino a través del abuso de una aplicación de terceros con permisos dentro del Office365 corporativo. Señalan, no obstante, que el actor amenaza solo accedió a un limitado número de emails.
- Investigadores de Microsoft daban más detalles sobre los mecanismos involucrados en la distribución de payloads secundarios (Teardrop, Raindrop, etc.) a partir de la puerta trasera Solorigate (SUNBURST, según la terminología de FireEye), que se sitúa como el origen de los compromisos de entidades públicas y privadas derivados de la troyanización del software SolarWinds Orion. Los investigadores muestran como puerta trasera inicial solo se activa para determinadas víctimas creando dos archivos en disco: un VBScript, que normalmente lleva el nombre de servicios o carpetas existentes para simular actividades legítimas de la máquina; y un implante DLL, que se corresponde con un cargador de Cobalt Strike personalizado. El implante de Cobalt Strike, sin embargo, no se ejecuta de forma directa sino que los atacantes generan un valor de registro IFEO para un proceso de ejecución habitual en Windows, consiguiendo de este modo que su activación se desligue totalmente de la puerta trasera, dificultando la detección y asegurando que Solarigate continúe oculto. Aparte de Teardrop y Raindrop, desde Microsoft aseguran haber detectado otros beacon de Cobalt Strike personalizados. Estos DLLs se colocan principalmente en los subdirectorios de Windows existentes y son asignados con nombres similares a archivos y directorios legítimos para camuflarse lo máximo posible con el entorno.
Nuevos datos sobre la Intrusión a la Agencia Europea del Medicamento
De forma sucesiva van desvelándose más detalles sobre el acceso no autorizado a la Agencia Europea del Medicamento (EMA) por parte de cibercriminales en el mes de diciembre, donde lograron acceder a documentación confidencial de la vacuna desarrollada por Pfizer-BioNtech. En el último comunicado emitido por la Agencia, se ha confirmado que los cibercriminales filtraron en foros underground a finales de diciembre alguno de los documentos a los que tuvieron acceso entre los que se incluyen correos electrónicos internos relacionados con los procesos de evaluación de la vacuna, documentos de Word, PDF, etc. Además, la EMA ha manifestado que parte de esta correspondencia fue previamente manipulada a su publicación, con el fin de minar la confianza en las vacunas.
Más detalles: https://www.ema.europa.eu/en/news/cyberattack-ema-update-5
El FBI advierte sobre nuevos ataques de vishing
La Oficina Federal de Investigaciones (FBI) ha emitido una notificación dirigida a la industria privada donde advierte de la detección de técnicas de ingeniería social telefónica con el objetivo de adquirir credenciales corporativas que permitan el acceso a las redes de entidades nacionales e internacionales. Los actores amenaza estarían utilizando plataformas VoIP (también conocidas como servicios de telefonía IP) para ponerse en contacto con empleados de cualquier categoría y guiarlos en el acceso a una página web fraudulenta (por ejemplo, una interfaz VPN falsa) donde introduzcan sus credenciales de acceso. Este primer compromiso les provee de un vector de entrada que posteriormente es utilizado para conseguir mayores privilegios buscando otros usuarios de la red con permisos para crear y modificar correos electrónicos y nombres de usuario. Esta es la segunda advertencia de ataques vishing activos contra empleados emitida por el FBI desde el inicio de la pandemia, después de que un número creciente de ellos se convirtieran en teletrabajadores.
Más información: https://beta.documentcloud.org/documents/20458329-cyber-criminals-exploit-network-access-and-privilege-escalation-bleepingcomputer-210115
DNSpooq: siete vulnerabilidades que permiten el secuestro de DNS
La consultora de seguridad JSOF ha revelado siete vulnerabilidades en Dnsmasq, un software de redireccionamiento DNS de código abierto ampliamente utilizado para añadir capacidades en dispositivos IoT y otros sistemas embebidos. De forma conjunta, estos fallos han sido denominados como DNSpooq, y podrían aprovecharse para el envenenamiento de la caché DNS, la ejecución remota de código o la realización de ataques de denegación de servicios contra millones de dispositivos afectados. Tres de las vulnerabilidades (catalogadas como CVE-2020-25686, CVE-2020-25684, CVE-2020-25685) permiten realizar ataques de DNS spoofing mediante el envenenamiento de la caché. Con este ataque, los actores amenaza pueden redirigir a los usuarios a servidores maliciosos bajo su control sin que ellos lo adviertan. El resto son vulnerabilidades de desbordamiento de búfer (catalogadas como CVE-2020-25687, CVE-2020-25683, CVE-2020-25682 y CVE-2020-25681) que podrían permitir la ejecución remota de código. Para solucionarlas, se recomienda actualizar Dnsmaq a la versión 2.83 o superior.
Toda la información: https://www.jsof-tech.com/disclosures/dnspooq/
Servicios RDP expuestos utilizados para amplificar ataques DDoS
Investigadores de seguridad de Netscout han detectado recientemente el aprovechamiento malicioso del protocolo de escritorio remoto de Windows (por sus siglas, RDP) por actores amenaza como parte de la infraestructura de stressers (herramientas para la realización de DDoS por encargo). El servicio RDP se configura habitualmente para recibir peticiones en el puerto 3389, TCP y/o UDP. Cuando se habilita la segunda opción, es posible conseguir una ratio de amplificación de casi 86:1. Los ataques observados varían en tamaño entre los 20 y los 750 Gbps. Todos paquetes enviados son consistentes en su tamaño, 1,260 bytes. Según los investigadores habría más de 14.000 servidores susceptibles a este tipo de ataques.
Más detalles: https://www.netscout.com/blog/asert/microsoft-remote-desktop-protocol-rdp-reflectionamplification
Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.
Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
The post Boletín semanal de ciberseguridad 16-22 enero appeared first on Think Big.