El grupo de ransomware Omega implementó un ataque de extorsión cibernética utilizando cuentas de administrador débilmente protegidas para adquirir entornos de empresa, aumentar los permisos de cuenta y obtener datos no autorizados de bibliotecas de SharePoint. Omega llevó a cabo este ataque sin comprometer un punto final en el entorno de SharePoint Online. En su lugar, aprovecharon una cuenta de administrador débilmente protegida para acceder.
Este ataque llamó más la atención de los investigadores porque normalmente las organizaciones se centran e invierten en asegurar que sus endpoints están protegidos, pero los ciberdelincuentes todavía pueden encontrar una manera de burlar esta medida de seguridad. Las empresas siguen adoptando aplicaciones SaaS para escalar operaciones, sin embargo, estas aplicaciones no siempre están bien protegidas.
Obsidian descubrió por primera vez esta brecha cuando Omega adquirió una de las cuentas de servicio de administrador global de Microsoft que estaba ampliamente distribuida por Internet sin autenticación multifactor. Los atacantes utilizaron esta cuenta, ahora comprometida, para convertirse en usuarios de Active Directory. Como usuario, Omega podía desactivar todas las restricciones, lo que les permitía disponer de los permisos adecuados para causar daños generalizados. Una vez que el actor de la amenaza eliminó todas las limitaciones, los atacantes tuvieron la capacidad de hacerse pasar por administradores a nivel global, en SharePoint, en Exchange, en todos los equipos y como recopiladores de sitios. Con la ayuda de varios administradores, el grupo tuvo acceso a todo el entorno en línea, así como la capacidad de eliminar 200 cuentas de administrador, lo que les dio el control total en sólo unas horas.
Tras obtener el control total, Omega envió las bibliotecas de datos de SharePoint a un host virtual del sector privado vinculado a un host web en Rusia. Para ayudar en esta transferencia no autorizada, los actores de la amenaza utilizaron una aplicación web de servidor, "sppull", que les permite extraer eficientemente todos los datos de los clientes de los servidores SharePoint. Una vez que los datos se transfirieron con éxito, Omega utilizó un node.js diferente para notificar públicamente a las víctimas en este entorno y, esencialmente, dejar que los medios de comunicación fueran conscientes de la brecha.
Los ciberataques dirigidos a entornos SaaS van en aumento. AppOmni descubrió que desde el 1 de marzo se ha producido un aumento del 300% en los ataques SaaS contra Salesforce y otras organizaciones SaaS. Ahora más que nunca, estas organizaciones deben ser conscientes de las medidas de seguridad correctas que deben tomar.
(Fuente: DarkReading)
Desde septiembre de 2022 se utiliza un motor de malware totalmente indetectable (FUD) para evitar la detección antivirus. El objetivo previsto de este malware es propagar diferentes cepas dañinas a través de varios archivos por lotes. El motor de malware, BatCloak, ha conseguido pasar desapercibido en todas las soluciones de seguridad (79,6%) durante 784 archivos.
Jlaive, un constructor de archivos por lotes ordinario, tiene la capacidad de eludir la Interfaz de Análisis Antimalware (AMSI) y codificar la carga útil para lograr con éxito la evasión de seguridad. Como esta herramienta de evasión antivirus se hizo pública en septiembre de 2022, incluso en los esfuerzos por retirarla, un desarrollador la hizo accesible como código abierto a través de GitHub y GitLab. Con el tiempo, otros atacantes la han alterado y replicado en el lenguaje de programación Rust. La carga útil final actúa como un punto de partida y tiene tres capas de carga diferentes: un cargador C#, un cargador PowerShell y un cargador por lotes. Durante este proceso, la carga útil final tiene que descifrarse hasta que el malware se descarga.
Con su expansión en la naturaleza, BatCloak está sufriendo varias actualizaciones, siendo la más reciente ScrubCrypt. Fortinet FortiGuard Labs encontró una relación entre esta y otra operación operada por la 8220 Gang. Ahora, esta herramienta de código abierto ha sido cerrada, lo que puede ayudar a obtener ingresos y salvaguardarla para garantizar que no pueda ser clonada.
(Fuente: TheHackerNews)
UNC3886, un grupo de ciberespionaje chino muy conocido en Estados Unidos y la región Asia-Pacífico por explotar vulnerabilidades de día cero, es responsable de explotar una vulnerabilidad de día cero en VMware ESXi. Estos ciberespías explotaron y ejecutaron numerosos comandos utilizando CVE-2023-20867. Esta campaña causaría daños a hosts VMware ESXi, servidores vCenter y máquinas virtuales (VM) Windows. Este grupo ha utilizado vSphere Installation Bundles (VIBs) maliciosos, que las organizaciones utilizan para mantener sus sistemas y ejecutar actualizaciones. La descarga de los VIBs permitirá a los atacantes ejecutar comandos y manipular sus archivos. Así como revertir las capacidades de shell utilizando sockets VMCI para ganar movimiento lateral y persistencia. Consiguiéndolo mediante la instalación de dos programas backdoor, VirtualPita y VirtualGate. En los últimos ataques, han recopilado las credenciales de todos los hosts ESXi que se encontraban en el servidor vCenter desde la base de datos, vPostgreSQL, y han alterado y deshabilitado ciertas IPs del servidor comprometido.
El grupo de ciberespionaje también es responsable de explotar una vulnerabilidad de día cero, CVE-2023-20867. Este fallo de seguridad de software afecta a VMware Tools en estas diferentes plataformas: Windows, Linux y máquinas virtuales invitadas PhotonOS (vCenter). Esta vulnerabilidad ha sido parcheada por una nueva versión, VMware Tool 12.2.5. Los "atacantes" utilizaron esta vulnerabilidad para eliminar la verificación y permitir a los atacantes realizar acciones clasificadas. La vulnerabilidad de día cero se calificó de "gravedad baja", porque el grupo tenía acceso al software ESXi.
(Fuente: SecurityWeek)
El martes, el equipo de seguridad de Microsoft publicó una serie de actualizaciones de software para parchear más de 70 vulnerabilidades y seis casos alarmantes que podrían haber expuesto a los usuarios a códigos maliciosos. Estas amenazas potenciales afectaban al sistema operativo y al software Windows y no se habían hecho públicas ni habían sido explotadas.
Estos fallos tienen una puntuación de gravedad CVSS de 9,8 sobre 10 y se conocen como CVE-2023-29363, CVE-2023-32014 y CVE-2023-32015. Los administradores de redes Windows han observado las tres vulnerabilidades de gravedad alta en Windows Pragmatic General Multicast (PGM). Este protocolo está diseñado para entregar paquetes a numerosos miembros de varias redes. Esperan resolver este problema de forma rápida y responsable para que no se produzca ninguna explotación.
Otro código de ejecución dañino que los expertos quieren que los usuarios conozcan en Microsoft Exchange Server es CVE-2023-320-21. Esto permite a los actores de amenazas evitar asuntos que fueron explotados en el pasado sin hacer una cuenta. Si la explotación tiene éxito, entonces esto podría causar que el código malicioso tenga privilegios en el sistema.
Uno de los muchos parches introducidos este mes para resolver los ataques de malware explotados a partir de un fallo en el sistema Chrome, CVE-2023-3079, se publicó el mismo día que Adobe anunció sus parches para los fallos que exponían a los usuarios de Adobe Commerce también a ataques de código malicioso. Adobe hizo público que tiene al menos 12 vulnerabilidades de seguridad. Si la explotación tiene éxito, esto podría causar la ejecución de código arbitrario y lecturas del sistema de archivos, así como un bypass de seguridad.
(Fuente: SecurityWeek)
Grandes marcas como Nike, UGG, The North Face y cientos más se enfrentan a una estafa mundial de phishing malicioso. Los "atacantes" se están haciendo pasar por estas conocidas marcas para obtener información financiera y de cuentas de los usuarios. Los actores de la amenaza han conseguido construir páginas convincentes y que funcionan correctamente, lo que hace difícil distinguir este sitio de la página real de la marca. Esto fue detectado por primera vez en junio de 2022 por Bolster AI. Desde entonces, han encontrado más de 3.000 dominios y 6.000 sitios web, tanto inactivos como activos. Estos dominios maliciosos estaban alojados en Packet Exchange Limited y Global Colocation Limited, que fueron identificados por el número de sistema autónomo de la dirección IP de los dominios, AS48950.
La campaña se disparó en enero y febrero de 2023, produciendo 300 sitios de estafa activos al mes. Estos atacantes pasaron desapercibidos creando dominios con el nombre de la empresa y su ubicación (ciudad o país) y terminando con .com, un dominio de nivel superior muy común. Se descubrió que estos dominios estaban certificados por una empresa de comercio electrónico de Singapur y tenían entre 3 meses y 2 años de antigüedad, lo que desempeñó un papel importante en este esquema.
Cuanto más tiempo exista un dominio, menos probable es que sea marcado como malicioso por los procesos de seguridad impuestos. Dado que esta campaña ha podido pasar desapercibida durante tanto tiempo, Google Search ha situado estos sitios fraudulentos en los primeros puestos cuando los usuarios buscan sus marcas favoritas de ropa o calzado. Esto ha supuesto una gran amenaza, ya que la gente tiende a hacer clic en los sitios que Google considera más fiables. La información financiera y de cuentas que los usuarios introducían en las páginas de pago podría haberse guardado y vendido a los atacantes. Los investigadores aconsejan a los usuarios que omitan los anuncios promocionados en Google y que comprueben las redes sociales de la marca para asegurarse de que tienen la URL correcta.
(Fuente: BleepingComputer)
