Los servidores web que funcionan con Windows Internet Information Service (IIS) están siendo atacados y explotados para propagar malware. Lazarus es un grupo de amenazas persistentes avanzadas (APT) dirigido por el gobierno de Corea del Norte. El objetivo inicial de la banda de ciberdelincuentes era obtener acceso a redes corporativas; sin embargo, el grupo se está centrando ahora en servidores IIS vulnerables y débilmente protegidos, secuestrándolos para luego distribuir malware. El principal incentivo para vulnerar servidores IIS es la facilidad con la que los atacantes pueden infectar a los usuarios cuyos servicios están alojados en estos servidores comprometidos de organizaciones fiables. Recientemente, Lazarus se infiltró en un software de seguridad financiera surcoreano con una versión comprometida de INISAFE CrossWeb EX V6. Después, para obtener un mayor acceso al sistema, Lazarus empleó un cargador de malware privilegiado conocido como JuicyPotato. Esta herramienta da a los atacantes la capacidad de descodificar los archivos de datos instalados y procesarlos en la memoria evitando los escáneres antivirus.
(Fuente: BleepingComputer)
Recientemente se han descubierto cinco vulnerabilidades de día cero (denominadas TETRA:BURST) en el servicio de almacenamiento de voz y datos por radio de emergenciaTerrestrial Trunked Radio (TETRO). TETRO es utilizado por cuerpos de seguridad, bomberos y militares de todo el mundo. Los canales del sistema proporcionan una gestión de claves, voz y cifrado de datos distinta. El algoritmo de cifrado TETRA (TEA1) toma los algoritmos cifrados y los transmite a través de la red TETRO. Midnight Blue Labs descubrió estas cinco vulnerabilidades, dos de las cuales son críticas.
Las dos vulnerabilidades críticas permiten a los atacantes rastrear a las fuerzas de seguridad, escuchar conversaciones sin levantar ninguna alerta y modificar las comunicaciones de infraestructuras críticas. CVE-2022-24401 permite a los atacantes recibir cualquier mensaje cifrado enviado a una radio apuntando a ese canal. CVE-2022-24402 afecta al algoritmo TEA1, que utiliza una clave de 80 bits. Si un atacante realizara un ataque de fuerza bruta sobre esta clave de 80 bits, podría obtener todas las conversaciones sin ser detectado.
(Fuente: DarkReading)
Un nuevo bot de IA llamado FraudGPT ha sido vinculado al mismo atacante que desarrolló WormGPT a principios de este mes. FraudGPT, al igual que WormGPT, puede adquirirse en la dark web para correos electrónicos de spear phishing, herramientas de cracking y carding. Sin embargo, FraudGPT está diseñado para ataques a corto plazo y a gran escala, como el phishing, mientras que WordGPT se utiliza para ataques a largo plazo con malware y ransomware. Otros actores de amenazas pueden beneficiarse si pagan una suscripción por la herramienta. Si la adquieren, aprenderán a presentar un correo electrónico de aspecto extremadamente creíble que contenga enlaces maliciosos.
(Fuente: SCMagazine)
Un importante fallo en el sistema operativo Mikrotik RouterOS que se identificó por primera vez en junio de 2022 sigue afectando a los dispositivos. La grave vulnerabilidad CVE-2023-30799 de Mikrotik permite a los atacantes remotos actualizar sus cuentas de administrador a cuentas de superadministrador de forma discreta. Los atacantes pueden obtener el control total de todo el sistema operativo RouteOS y cambiar la ruta del código sin ninguna suspensión. Se dice que este fallo, que ya se ha detectado en 926.000 dispositivos, es más tentador para los atacantes que buscan hacer jailbreak a una red y cambiar el sistema operativo. Los hackers necesitan acceso de administrador para entrar, pero el sistema está preprogramado para tener acceso de administrador. Mikrotik aconseja a los usuarios que actualicen a la versión más reciente de RouterOS porque no creen que este sea el fin del ataque.
(Fuente: TheHackerNews)
La banda de piratas informáticos Lazarus, de la que ya se informó en este blog por vulnerar los servidores web de Microsoft, acaba de llevar a cabo otra exitosa campaña. El grupo norcoreano robó 60 millones de dólares del proveedor de criptomonedas Alphapo. Inicialmente, el grupo obtuvo 23 millones de dólares del proveedor de pagos y más tarde adquirió 37 millones de dólares en TRON y BTC. Lazarus engaña a los empleados de empresas de criptomonedas para que abran archivos maliciosos, infecten sus sistemas y les hagan perder las credenciales de sus cuentas. Lazarus ha conseguido robar 617 millones de dólares en el atraco a Axie Infinity, 35 millones en el atraco a Atomic Wallet y 100 millones en el ataque a Harmony Horizon en los últimos dos años.
(Fuente: BleepingComputer)
