Emotet vuelve a la actividad
Investigadores de seguridad de Cryptolaemus han identificado la reactivación del conocido malware Emotet, cuya infraestructura se encontraba inactiva desde el pasado mes de enero de este año tras la acción conjunta de distintas autoridades a nivel global. Las nuevas muestras utilizan los mismos mecanismos de propagación típicamente asociados a esta botnet: malspam con adjuntos de excel y word o archivos zip protegidos con contraseña; remitentes manipulados (spoofed) e información robada de hilos de correo de antiguas víctimas. La única diferencia reseñable estriba en el uso de comunicaciones cifradas con el servidor C2 mediante HTTPS. Cabe señalar que, tan solo un día antes de localizarse esta oleada de spam, otros investigadores advertían de la identificación de muestras de Emotet siendo distribuidas como segundo payload por parte del malware Trickbot. Precisamente los operadores de Trickbot, conocidos por el alias ITG23, han sido vistos en recientes campañas aunado fuerzas con el actor amenaza Shathak (aka TA551) para conseguir la entrega del malware con el objetivo final del despliegue del ransomware Conti.
Todos los detalles: https://isc.sans.edu/diary/28044
Actores amenaza explotan vulnerabilidad 0-day en FatPipe VPN
El FBI ha emitido un comunicado alertando sobre la explotación activa de una vulnerabilidad 0-day en dispositivos FatPipe VPN por parte de un grupo APT desde al menos el pasado mes de mayo. En concreto, los análisis forenses del FBI afirman que los atacantes podrían haber accedido a las funciones de carga de archivos en el firmware del dispositivo para instalar una webshell con acceso root, consiguiendo así acceso con altos privilegios a las redes internas de las organizaciones objetivo. La vulnerabilidad 0-day utilizada afecta a los dispositivos de redes virtuales privadas (VPN) FatPipe MPVPN, IPVPN y WARP y por el momento no dispone de CVE asignado ni criticidad asociada. No obstante, la compañía FatPipe ya ha publicado parches e información relacionada mediante un aviso de seguridad (FPSA006). Asimismo, el comunicado del FBI contiene indicadores y reglas YARA con el fin de verificar posibles intrusiones en los sistemas o detectar webshells no autorizadas en los mismos.
Más info: https://www.ic3.gov/Media/News/2021/211117-2.pdf
Chainjacking: nuevo tipo de ataque a la cadena de suministro de software
La compañía de seguridad Intezer en colaboración con Checkmarx ha publicado una investigación sobre un nuevo tipo de ataque centrado en la cadena de suministro de software que podría poner en riesgo herramientas de administración de uso común. Denominado como “Chainjacking”, el ataque consiste en la modificación o corrupción de los paquetes “open source” de GitHub, Go Package Manager o NPM que se encuentran incluidos por defecto en herramientas de administración de uso extendido. En el caso de GitHub, un atacante podría reclamar fácilmente un nombre de usuario abandonado y comenzar a entregar código malicioso a cualquiera que descargue el paquete, confiando en la credibilidad ganada por su antiguo propietario. Hacerlo en un repositorio de paquetes Go podría resultar en una reacción en cadena que amplíe sustancialmente la distribución del código e infecte una gran cantidad de productos posteriores llegando a causar daños severos comparables con los ataques sufridos por las empresas Solarwinds a finales del pasado año y Kaseya durante este 2021, según menciona la investigación. Hasta la fecha no se conocen reportes sobre la posible explotación activa de Chainjacking en la red, pero se debe tener en cuenta que existe una tendencia al alza en los ataques a la cadena de suministro de software ya que suelen ser difíciles de detectar, tienen un impacto generalizado y proporciona a los actores amenaza nuevas oportunidades de infección.
Descubre más: https://www.intezer.com/blog/malware-analysis/chainjacking-supply-chain-attack-puts-popular-admin-tools-at-risk/
0-day en ManageEngine ServiceDesk
Investigadores de IBM han descubierto un 0-day en la plataforma ManageEngine ServiceDesk. Se trata de una plataforma de administración de help desk ampliamente utilizada, que incluye aplicaciones de administración de proyectos y de IT. La vulnerabilidad descubierta, catalogada como CVE-2021-37415, podría explotarse para dar acceso a un atacante no autenticado a un subconjunto de las API REST de la aplicación, que son las responsables de recuperar información detallada de los tickets que existen en la aplicación. Asimismo, de ser explotada activamente, un actor malicioso podría acceder a datos confidenciales a través de Internet, incluyendo información sobre parches que faltan por aplicar o información sobre la estructura de red interna de una organización, entre otras. Del mismo modo, podría conducir a un impacto generalizado similar al de los ataques a la cadena de suministro, debido al uso generalizado de este producto y la naturaleza de la vulnerabilidad. ManageEngine ha lanzado la versión 11302 corrigiendo dicha vulnerabilidad, por lo que se recomienda actualizar a la misma sin demora.
Todos los detalles: https://securityintelligence.com/posts/zero-day-discovered-enterprise-help-desk/
The post Boletín semanal de ciberseguridad 13-19 noviembre appeared first on Think Big.