Acortador de URL en un archivo de Microsoft Word que conduce a Remcos RAT | |
Recientemente, se encontró un documento de Word (FAKTURA.docx) que implementa el troyano de acceso remoto Remcos (RAT) El malware RAT Remcos (Control remoto y vigilancia) proporciona a los atacantes un control total sobre un sistema infectado. Puede utilizarse para robo de datos, espionaje y otras actividades maliciosas. Comprender cómo se introduce normalmente este tipo de malware a través de archivos de Office puede ayudar a reconocer y mitigar estas amenazas. | |
|
El ataque comienza con un correo electrónico que contiene un archivo adjunto .docx diseñado para engañar al destinatario.
Al examinar este archivo, se encuentra una URL acortada, lo que indica intenciones maliciosas. Esta URL redirecciona para descargar una variante del malware Equation Editor en formato RTF.
Al explotar la vulnerabilidad del Editor de ecuaciones (CVE-2017-11882), el malware, intenta descargar un script VB compuesto por una larga secuencia de variables y cadenas concatenadas, probablemente codificadas u ofuscadas. Estas cadenas forman una carga útil codificada, que puede decodificarse o ejecutarse más adelante en el script. El script VB se desofusca en un código PowerShell que intenta descargar un binario malicioso a través de una imagen esteganográfica y cadenas codificadas en Base64 inversas. Aunque se realiza una llamada de comando y control (C2), también hay una reconexión TCP, lo que sugiere que es posible que el C2 no esté disponible. El análisis de DNS pasivo identificó los dominios C2, pero actualmente están inactivos.
| |
|
El documento (SHA1: f1d760423da2245150a931371af474dda519b6c9) contiene dos archivos críticos: settings.xml.rels y document.xml.rels ubicados en word/_rels/.
El archivo settings.xml.rels revela una URL abreviada responsable de descargar la siguiente etapa de la infección. La ejecución del archivo .docx en un entorno sandbox revela que contiene la vulnerabilidad CVE-2017-0199.
Al explotar esta vulnerabilidad, el documento intenta conectarse a un servidor remoto para descargar un archivo malicioso.
| | |
|
El atacante utiliza un servicio de acortamiento de URL para enmascarar la URL maliciosa, lo que dificulta que la víctima reconozca el riesgo y ayuda a eludir los filtros de seguridad que podrían señalar URL sospechosas.
Una investigación más profunda de la carpeta \word\embeddings revela archivos PDF incrustados dentro de los archivos bin de oleObject.
El archivo PDF parece benigno y muestra una transacción bancaria entre una empresa y un banco. Sin embargo, la verdadera amenaza reside en el archivo RTF (SHA1: 539deaf1e61fb54fb998c54ca5791d2d4b83b58c) descargado a través de la URL abreviada.
Este archivo aprovecha la vulnerabilidad del Editor de ecuaciones para descargar un script VB (SHA1: 9740c008e7e7eef31644ebddf99452a014fc87b4).
El script parece ser una larga cadena de variables y cadenas concatenadas, datos potencialmente codificados u ofuscados. La variable importante es “remercear”, que se asigna a una cadena concatenada muy larga. Parece construirse concatenando repetidamente “maleta”, “centralizador” y varios literales de cadena. El uso de concatenación repetida sugiere que “remercear” se está construyendo para contener alguna información o comando codificado. La cadena concatenada representa una carga útil codificada, que podría decodificarse o ejecutarse en un punto posterior del script.
| |
Fuente: Centro Nacional de Seguridad Digital | |
CVE-2024-28995: Vulnerabilidad de recorrido de directorio/ruta de SolarWinds Serv-U explotada en la naturaleza | |
Tras la publicación de los detalles de la explotación de prueba de concepto para una falla de alta gravedad en SolarWinds Serv-U, los investigadores han observado intentos de explotación en estado salvaje tanto automatizados como manuales; Se recomienda encarecidamente aplicar parches. | |
El 5 de junio, SolarWinds publicó un aviso sobre una vulnerabilidad en sus soluciones de protocolo de transferencia de archivos (FTP) y transferencia administrada de archivos (MFT) Serv-U. | |
CVE-2024-28995 es una vulnerabilidad de cruce de directorio o ruta en SolarWinds Serv-U. Un atacante remoto no autenticado podría aprovechar esta vulnerabilidad enviando una solicitud especialmente diseñada a un servidor vulnerable. Una explotación exitosa permitiría a un atacante leer archivos del sistema operativo subyacente, que pueden incluir información confidencial como datos del usuario (que pueden incluir contraseñas cifradas), el archivo de registro del servidor Serv-U y otros archivos. | | | |
|
SolarWinds Serv-U históricamente explotado en ataques dirigidos
En 2021, SolarWinds parchó CVE-2021-35211, una vulnerabilidad de día cero en Serv-U que fue explotada en estado salvaje contra un conjunto de clientes “limitados y específicos”. La falla fue revelada a SolarWinds por Microsoft, quien la atribuyó a un grupo llamado Circle Typhoon (también conocido como DEV-0322 y TiltedTemple).
La transferencia de archivos gestionada suele ser un objetivo ideal para los grupos de ransomware
Durante los últimos cuatro años, las soluciones de transferencia de archivos administradas como Serv-U han sido blanco de atacantes oportunistas que buscan robar datos confidenciales y extorsionar a las víctimas. La mayoría de estos ataques dirigidos a MFT han sido realizados por el infame grupo de ransomware Cl0p, que aprovechó cuatro fallas en File Transfer Appliance (FTA) de Accellion en 2020, GoAnywhere MFT de Fortra en enero de 2023 y MOVEit Transfer MFT de Progress Software en mayo de 2023.
Se han observado intentos de explotación en la naturaleza para CVE-2024-28995
El 18 de junio, investigadores de GreyNoise publicaron una publicación de blog que confirmaba las observaciones de intentos de explotación en estado salvaje de CVE-2024-28995 contra sus honeypots. Estos incluyen tanto intentos de explotación automatizada utilizando detalles públicos de prueba de concepto como intentos de explotación manual (con las manos en el teclado). Los clientes que utilizan Serv-U FTP o MFT deben aplicar el parche disponible para esta falla lo antes posible.
| |
Shadow AI: qué es, sus riesgos y cómo limitarla | |
Somos conscientes de que la inteligencia artificial (IA) se ha convertido en una palabra de moda que domina las conversaciones y los titulares hoy en día, y es una tecnología transformadora que muchos perciben de forma positiva o negativa. | |
|
Desde un punto de vista empresarial, las organizaciones ahora deben lidiar con un método cada vez más común de uso de IA en los lugares de trabajo conocido como "IA en la sombra", una práctica que es una variante de la "TI en la sombra" y que los empleados están adoptando a pesar de los riesgos que la acompañan.
El grupo de cibercrimen Nobelium, también conocido como Midnight Blizzard, es una gran amenaza para la seguridad nacional de Francia y de los países europeos en general, advirtió esta semana la agencia de ciberseguridad de Francia en un informe.
Específicamente, Nobelium está lanzando ataques de ciberespionaje en nombre de la agencia de inteligencia rusa contra objetivos gubernamentales y diplomáticos en Francia y otras partes de Europa, según la Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI).
| |
Shadow AI es un término que se refiere al uso no autorizado y la incorporación de herramientas de IA dentro de las organizaciones sin el conocimiento y la aprobación de las funciones centrales de TI o de seguridad de las empresas. En los entornos laborales, esto puede significar que los trabajadores accedan a plataformas de IA generativa (GenAI) o modelos de lenguajes grandes (LLM) como ChatGPT para completar tareas diarias como escribir código, redactar textos o crear gráficos/imágenes. En un nivel amplio, hacerlo puede parecer inofensivo en este momento, pero debido a que los departamentos de TI no son conscientes del uso interno de la IA, a menudo no pueden monitorearlo, lo que deja a las empresas susceptibles a un mayor riesgo de explotación o participación en problemas legales. | | | |
|
De manera similar, la TI en la sombra se produce cuando los empleados de la organización crean, implementan o utilizan dispositivos, servicios en la nube o aplicaciones de software para actividades relacionadas con el trabajo sin la supervisión explícita del departamento de TI. Con la creciente prominencia de las diferentes aplicaciones SaaS, a los usuarios les resulta más fácil instalar y obtener acceso rápidamente a estas herramientas sin involucrar al departamento de TI. Además de estos desarrollos, la tendencia BYOD (traiga su propio dispositivo) ha demostrado ser una causa importante de TI en la sombra porque, incluso si existe un programa BYOD formal, los equipos de seguridad pueden carecer de visibilidad sobre los servicios o aplicaciones que se utilizan, y la implementación de protocolos de seguridad en los dispositivos personales de los trabajadores puede plantear desafíos.
La TI en la sombra y la IA en la sombra difieren según los tipos de tecnologías utilizadas. La TI en la sombra implica principalmente el uso no aprobado de infraestructura y software de TI, mientras que la IA en la sombra se refiere al uso de IA sin una regulación formal por parte de la función de seguridad de la organización.
| |
Cuidado con los drenadores de criptomonedas que pueden vaciar cryptowallets | |
Conoce cómo los ciberdelincuentes están poniendo el ojo sobre las criptomonedas y cómo protegerte de sus estrategias para vaciar billeteras. | |
|
La reciente subida del Bitcoin ha hecho que las criptomonedas vuelvan a ganar protagonismo en los medios de comunicación, despertando un creciente interés en el mundo crypto. Como ocurre con cualquier tema en relevancia, los ciberdelincuentes también están al acecho con herramientas capaces de perjudicar enormemente a quienes poseen criptomonedas.
Aunque el foco de los delincuentes suele dirigirse a las criptomonedas más populares, con las que tienen más probabilidades de encontrar víctimas, nada les impide atacar cualquier moneda que consideren interesante para sus fines.
| |
|
Generalmente, los delincuentes atraen a las víctimas ofreciéndoles beneficios muy atractivos como supuestos airdrops, regalos en criptomonedas que algunas empresas ofrecen como estrategia de marketing, o nuevas formas de minar criptomonedas, generando expectativas irreales de ganancias. La víctima suele ser atraída a un sitio web que simula ser de un exchange conocido de criptomonedas.
Tras la interacción con este sitio web, comienza la segunda etapa del proceso, en la que los ciberdelincuentes obtienen las credenciales de acceso a las billeteras de las víctimas, o pueden también instalar un malware que desvía los criptoactivos a wallets de los atacantes.
Los delincuentes suelen propagar estas amenazas de dos formas principales:
-
Correos electrónicos y mensajes: Estos suelen contener publicidad falsa relacionada con la obtención de criptoactivos gratuitos. Es crucial estar siempre alerta ante cualquier tipo de comunicación recibida de forma pasiva, es decir, que no hayas solicitado previamente. Gran parte de la comunicación pasiva está relacionada con amenazas.
-
Resultados de búsqueda: Los delincuentes también se posicionan en los primeros puestos de búsqueda en la web para aquellos que buscan airdrops o programas que permitan obtener criptomonedas. Es importante tener cuidado al hacer clic en los enlaces durante tus búsquedas, ya que no todos los anunciantes tienen buena reputación.
| | | |
|
La estructura de los sitios web maliciosos está diseñada para recolectar información sobre los criptoactivos de la víctima y determinar cuáles son los más valiosos, o para buscar criptoactivos específicos de interés para los ciberdelincuentes. Una vez en posesión de la información de la víctima, estos activos son transferidos a las billeteras de los delincuentes a través de herramientas que dificultan el seguimiento de las actividades, utilizando diversas billeteras virtuales hasta llegar a la wallet final del ciberdelincuente.
Otra táctica es el uso de programas maliciosos que afectan a estos activos directamente. Varios troyanos, por ejemplo, utilizan módulos dirigidos a las criptomonedas, pudiendo reemplazar una dirección de billetera que ha sido copiada en la memoria con la dirección que beneficiaría a los ciberdelincuentes, superponiendo ventanas para engañar a las víctimas que intentan acceder a sitios web legítimos, entre otras características.
| |
Fuente: WeLiveSecurity by ESET | |
La creciente amenaza del malware oculto detrás de los servicios en la nube | |
Las amenazas a la ciberseguridad aprovechan cada vez más los servicios en la nube para almacenar, distribuir y establecer servidores de comando y control (C2), como VCRUMS almacenados en AWS o SYK Crypter distribuido a través de DriveHQ. | |
Este cambio de estrategia presenta importantes desafíos para la detección y la prevención, ya que los servicios en la nube brindan escalabilidad, anonimato y resiliencia de los que carecen los métodos de alojamiento tradicionales. | |
|
Durante el último mes, FortiGuard Labs ha estado monitoreando las botnets que han adoptado esta estrategia, abusando de los servicios en la nube para mejorar sus capacidades maliciosas. Se ha observado que estas botnets, como UNSTABLE y Condi, aprovechan los operadores de servicios informáticos y de almacenamiento en la nube para distribuir cargas útiles de malware y actualizaciones a una amplia gama de dispositivos.
El uso de servidores en la nube para operaciones C2 garantiza una comunicación persistente con los dispositivos comprometidos, lo que dificulta que los defensores interrumpan un ataque. También hemos observado a un actor de amenazas que explota múltiples vulnerabilidades para atacar servidores web JAWS, enrutadores domésticos Dasan GPON, enrutadores Huawei HG532, TP-Link Archer AX21 e Ivanti Connect Secure para amplificar sus ataques.
| | | |
|
La flexibilidad y eficiencia inherentes a los servicios en la nube han proporcionado, sin saberlo, a los ciberdelincuentes un nuevo ámbito para sus actividades. Este cambio a operaciones basadas en la nube marca una evolución significativa en el panorama de amenazas, ya que los operadores de malware explotan las ventajas de estas plataformas.
Las organizaciones deben reforzar sus defensas de seguridad en la nube a medida que las botnets y las herramientas DDoS continúan aprovechando los servicios en la nube. Es imprescindible contar con medidas de seguridad sólidas y una supervisión atenta dentro de los entornos de nube para combatir estos ataques sofisticados. La implementación de un enfoque de seguridad de múltiples capas, que incluya parches periódicos, actualizaciones y segmentación de la red, es esencial para aislar los activos críticos y mitigar posibles infracciones.
| |
Presentación de SpiceRAT: la última herramienta de SneakyChef dirigida a EMEA y Asia | |
Cisco Talos descubrió un nuevo troyano de acceso remoto (RAT) denominado SpiceRAT, utilizado por el actor de amenazas SneakyChef en una campaña reciente dirigida a agencias gubernamentales en EMEA y Asia. | |
|
Talos reveló recientemente la campaña continua de SneakyChef dirigida a agencias gubernamentales en varios países de EMEA y Asia, entregando el malware SugarGh0st (lea la investigación correspondiente aquí). Sin embargo, descubrimos que en esta campaña también se entregó un nuevo malware al que denominamos "SpiceRAT".
SneakyChef utiliza el nombre "ala de Emissão do Edifício B Mutamba" y la dirección de correo electrónico “dtti.edb@[redated]” para enviar varios correos electrónicos de phishing con al menos 28 archivos adjuntos RAR diferentes para entregar SugarGh0st o SpiceRAT.
Uno de los archivos PDF señuelo que analizamos en esta campaña fue incluido en un archivo RAR, entregado como archivo adjunto en los correos electrónicos que probablemente estaban dirigidos a agencias gubernamentales angoleñas. El PDF señuelo contenía señuelos del medio de comunicación estatal de Turkmenistán “ТУРКМЕНСКАЯ ГОСУДАРСТВЕННАЯ ИЗДАТЕЛЬСКАЯ СЛУЖБА” (Neytralnyy Turkmenistán), lo que indica que el actor tiene Probablemente descargó el PDF de su sitio web oficial. También descubrimos que el archivo RAR que entregó el malware SugarGh0st en esta campaña eliminó un PDF señuelo similar de la misma agencia de noticias, destacando que SneakyChef tiene cargas útiles SugarGh0st RAT y SpiceRAT en su arsenal.
|  | |
|
Talos descubrió dos cadenas de infección empleadas por SneakyChef para implementar SpiceRAT. Ambas cadenas de infección involucraron múltiples etapas iniciadas por un archivo HTA o LNK.
La cadena de infección basada en LNK comienza con un archivo RAR malicioso que contiene un archivo de acceso directo de Windows (LNK) y una carpeta oculta. Esta carpeta contiene varios componentes, incluido un iniciador de ejecutable malicioso, un ejecutable legítimo, un cargador de DLL malicioso, un SpiceRAT cifrado que se hace pasar por un archivo de ayuda legítimo (.HLP) y un PDF señuelo. La siguiente tabla muestra un ejemplo de los componentes de esta cadena de ataque y la descripción.
| | | |
|
Talos evalúa con confianza media que el actor SneakyChef, que utiliza SpiceRAT y SugarGh0st RAT, es un actor de habla china según el idioma observado en los artefactos y la superposición de TTP con otras campañas de malware.
En esta campaña, vimos que SpiceRAT aprovecha la técnica de carga lateral, utilizando un cargador legítimo junto con un cargador malicioso y la carga útil cifrada. Aunque la carga lateral es una táctica, técnica y procedimiento (TTP) ampliamente adoptado, la elección de utilizar la aplicación auxiliar Samsung para cargar lateralmente la DLL maliciosa que se hace pasar por el archivo “ssMUIDLL.dll” es particularmente notable. Este método se ha observado anteriormente en las campañas PlugX y SPIVY RAT .
| |
|
Acerca de Bafing
Somos una empresa con más de 29 años de experiencia en el mercado de Tecnologías que ofrece soluciones muy especializadas en Ciberseguridad, eHealth y Smart Buildings.
El presente documento es una comunicación de carácter general hecha exclusivamente con propósitos informativos. Usted recibe este newsletter tras haberse suscrito al mismo. Si no desea continuar recibiéndolo, por favor escribir a bdigital@bafing.com
| | | | |
