Hackers iranÃes explotan defectos de puerta trasera de VPNs en organizaciones de todo el mundo

- Seguridad
- Posted
- ¡Escribe el primer comentario!
- Visto 215 veces
Denominada "Fox Kitten" la campaña de ciberespionaje descarga en fragmentos el código de la puerta trasera
Un nuevo informe publicado por investigadores de ciberseguridad reveló evidencia de piratas informáticos patrocinados por el estado iranà contra docenas de empresas y organizaciones en Israel y en todo el mundo en los últimos tres años.
Denominada "Fox Kitten", se dice que la campaña de ciberespionaje se dirigió a empresas de los sectores de TI, telecomunicaciones, petróleo y gas, aviación, gobierno y seguridad.
"Estimamos que la campaña revelada en este informe se encuentra entre las campañas más continuas y completas de Irán reveladas hasta ahora", dijeron los investigadores de ClearSky.
"La campaña revelada se usó como una infraestructura de reconocimiento; sin embargo, también se puede usar como una plataforma para difundir y activar malware destructivo como ZeroCleare y Dustman".
Vinculando las actividades a los grupos de amenazas APT33, APT34 y APT39, la ofensiva, realizada utilizando una combinación de herramientas de código abierto y de desarrollo propio, también facilitó a los grupos robar información confidencial y emplear ataques contra la cadena de suministro para atacar a organizaciones adicionales, dijeron los investigadores.
Explotar defectos de VPN para comprometer redes empresariales
El principal vector de ataque empleado por los grupos iranÃes ha sido la explotación de vulnerabilidades VPN sin parches para penetrar y robar información de las compañÃas objetivo. Los principales sistemas VPN (Red privada virtual) explotados de esta manera incluyen Pulse Secure Connect (CVE-2019-11510), Global Protect de Palo Alto Networks (CVE-2019-1579), Fortinet FortiOS (CVE-2018-13379) y Citrix (CVE-2019- 19781).
ClearSky señaló que los grupos de piratas informáticos pudieron obtener el acceso con éxito a los sistemas centrales de los objetivos, colocar malware adicional y extenderse lateralmente a través de la red explotando "vulnerabilidades de 1 dÃa en perÃodos de tiempo relativamente cortos".
Al obtener un punto de apoyo inicial, se descubrió que los sistemas comprometidos se comunicaban con los servidores de comando y control (C2) de atacante-control para descargar una serie de archivos VBScript personalizados que, a su vez, se pueden utilizar para plantar puertas traseras.
Además, el código de la puerta trasera en sà mismo se descarga en fragmentos para evitar ser detectado por el software antivirus instalado en las computadoras infectadas. Es el trabajo de un archivo descargado por separado, llamado "combine.bat", el que une estos archivos individuales y crea un ejecutable.
Para realizar estas tareas y lograr la persistencia, los actores de la amenaza explotaron herramientas como Juicy Potato e Invoke the Hash para obtener privilegios de alto nivel y moverse lateralmente por la red. Algunas de las otras herramientas desarrolladas por los atacantes incluyen:
• STSRCheck: una herramienta para mapear bases de datos, servidores y puertos abiertos en la red objetivo y forzarlos mediante el registro con credenciales predeterminadas.
• Port.exe: una herramienta para escanear puertos y servidores predefinidos.
Una vez que los atacantes obtuvieron capacidades de movimiento lateral, los atacantes se mueven a la etapa final: ejecutan la puerta trasera para escanear el sistema comprometido en busca de información relevante y extraen los archivos de regreso al atacante mediante el establecimiento de una conexión de escritorio remota (utilizando una herramienta de desarrollo propio llamada POWSSHNET) o abriendo una conexión basada en socket a una dirección IP codificada.
Además, los atacantes utilizaron shells web para comunicarse con los servidores ubicados dentro del objetivo y cargar archivos directamente en un servidor C2.
Trabajo de múltiples grupos de piraterÃa iranÃes
Basado en el uso de la web de shells web y superposiciones con la infraestructura de ataque, el informe ClearSky destacó que los ataques contra servidores VPN posiblemente estén vinculados a tres grupos iranÃes: APT33 ("Elfin"), APT34 ("OilRig") y APT39 (Chafer ).
Además, los investigadores evaluaron que la campaña es el resultado de una "cooperación entre los grupos en infraestructura", citando similitudes en las herramientas y métodos de trabajo en los tres grupos.
El mes pasado, se descubrió que piratas informáticos respaldados por el Estado iranÃ, denominados "Magnallium", llevaban a cabo ataques de rociamiento de contraseñas contra empresas de servicios eléctricos de EE. UU. y empresas de petróleo y gas.
Dado que los atacantes están armando las fallas de VPN en 24 horas, es imperativo que las organizaciones instalen parches de seguridad cuando estén disponibles.
Además de seguir el principio de privilegio mÃnimo, tampoco hace falta decir que los sistemas crÃticos son monitoreados y actualizados continuamente. La implementación de la autenticación en dos pasos puede ser muy útil para minimizar los inicios de sesión no autorizados.
ArtÃculos relacionados (por etiqueta)
- Hackers rusos piratearon la red de Microsoft accediendo al código fuente
- Windows 10, iOS, Chrome, Firefox y otros pirateados en un concurso internacional de ciberseguridad
- ¿Manejas información confidencial? ¡Protege tus datos ahora!
- Defectos de la aplicación de citas OkCupid podrÃan haber permitido que los hackers lean los mensajes privados
- Hackers de comercio electrónico ocultan el robo de tarjetas de crédito dentro de los metadatos de imagen
- Hackers usan Google Analytics para eludir la seguridad web y robar tarjetas de crédito
Lo último de Jesús Cáceres
- Cómo obtener información de ubicación de una dirección IP
- Cuidado: un nuevo malware de Android con gusanos se propaga a través de WhatsApp
- El plan de Twitter para descentralizar las redes sociales
- Google rediseña la búsqueda móvil en Android e iOS para que sea más fácil de leer
- Compartir un eBook con tu Kindle podrÃa haber permitido a los hackers secuestrar tu cuenta
Deja tus comentarios
- Publicar comentario como invitado. RegÃstrate o ingresaa tu cuenta