Redes

Los ataques de carga lateral de DLL y CVE muestran diversidad en el panorama de amenazas

0 0 1 minuto de lectura
Scrabble tiles scattered in front of some glasses with a few standing up that spell out CVE

Los bloques de Scrabble están dispersos frente a algunos vasos, algunos de los cuales se levantan para deletrear CVEImagen: lexiconimages/Adobe Stock

Los observadores de amenazas descubrieron nuevas vulnerabilidades de seguridad cibernética, lo que ilustra la naturaleza cambiante de los piratas informáticos a medida que los grupos de malware se adaptan y buscan nuevas oportunidades en bibliotecas de enlaces dinámicos y vulnerabilidades y exposiciones comunes.

Las firmas de seguridad Bitdefender y Arctic Wolf se están enfocando en nuevas tácticas de ataque. Según Bitdefender, uno de los sideloaders, denominado S1deload Stealer, utiliza canales sociales como Facebook y YouTube como vectores.

Salta a:

Carga lateral usando bibliotecas vinculadas como cebo

Según Bitdefender, S1deload Stealer infecta los sistemas a través de una técnica de carga lateral que afecta a las DLL, bases de código compartidas utilizadas por casi todos los sistemas operativos. Los vectores de destino son canales sociales disfrazados de contenido explícito a través de archivos ejecutables legítimos.

VER: IBM: bloqueó la mayoría del ransomware el año pasado, pero los ataques cibernéticos se están moviendo más rápido (Tecnopedia)

Según Martin Zugec, Director de Soluciones Técnicas de Bitdefender, la técnica de carga lateral se utiliza para ocultar código malicioso en forma de DLL que se carga mediante un proceso legítimo firmado digitalmente. Según Zugec, la carga lateral de DLL abusa de las aplicaciones legítimas al «ovejar» a Windows u otras plataformas con archivos DLL legítimos.

«Llamamos a esto ‘carga lateral’ porque el exploit ejecuta un código malicioso mientras se ejecuta Microsoft u otro sistema operativo», dijo Zugec (Figura A).

Publicaciones relacionadas

Figura A

Un vector de fallas de diseño basado en la forma en que el sistema operativo Windows ubica las bibliotecas.Imagen: Bitdefender. Ilustración de la biblioteca maliciosa descargada en una carpeta.

Bitdefender ha visto un gran aumento en el uso de esta táctica, dijo Zugec, «porque la carga lateral de DLL permite que los actores de amenazas permanezcan ocultos. Muchas soluciones de seguridad de punto final verán los archivos DLL como ejecutables, como los creados por Microsoft o cualquier conocido Trusted and Signed. por una empresa conocida. Sin embargo, esta biblioteca confiable cargará código malicioso».

S1deloader aprovecha las redes sociales para obtener resultados maliciosos

En un libro blanco, Bitdefender informó que, una vez instalado, S1deload Stealer realiza varias funciones maliciosas, incluido el robo de credenciales, la identificación de moderadores de redes sociales, la promoción de contenido artificial, la criptominería y una mayor difusión a través de listas de seguidores de usuarios.

Otras características de S1deload Stealer incluyen:

  • Use un ejecutable legítimo firmado digitalmente que, si se hace clic, puede cargar código malicioso sin darse cuenta.
  • Infecte el sistema, ya que la instalación de prueba ayuda a eludir las defensas del sistema. Además, el ejecutable apunta a una carpeta real de imágenes para reducir las sospechas de malware por parte del usuario.
  • Robar credenciales de usuario.
  • Simule el comportamiento humano para aumentar artificialmente la participación en videos y otro contenido.
  • Evaluar el valor de las cuentas individuales, como identificar a los administradores de redes sociales corporativas.
  • Minería criptomoneda BEAM.
  • Difundir enlaces maliciosos a los seguidores del usuario.

Zugec se apresura a señalar que las empresas cuyos ejecutables se utilizan para la carga lateral generalmente no tienen la culpa.

VER: Política de concientización y capacitación en seguridad (Tecnopedia Premium)

«Vemos la diferencia entre la carga lateral activa, donde el software es vulnerable y debe repararse, y la carga lateral pasiva, donde los actores de amenazas obtendrán ejecutables de estas grandes empresas», dijo Zugec, y señaló que, en el último caso, el ejecutable podría han sido desarrollados hace diez años.

Según Zugec, el atacante «creó una copia fuera de línea, colocó la biblioteca maliciosa junto a ella y la ejecutó. Aunque el ejecutable fue parcheado hace una década, los actores de amenazas aún pueden usarlo hoy para ocultar maliciosamente el código. «

Los ataques dirigidos a vulnerabilidades no resueltas están en aumento

Los ataques CVE observados por Bitdefender y Arctic Wolf se caracterizaron por ataques dirigidos a vulnerabilidades de seguridad divulgadas públicamente. Según Coalition, una firma de seguridad y seguros cibernéticos que monitorea la disponibilidad de exploits CVE utilizando fuentes como GitHub y Exploit-DB, la mayoría de los CVE se explotan dentro de los 90 días posteriores a la divulgación pública, y los proveedores de exploits o los propios actores de amenazas tienen suficiente. Es hora de atacar ventanas digitales en la red. La Coalición dijo en su primer Índice de Amenazas Cibernéticas que la mayoría de los CVE fueron explotados dentro de los primeros 30 días.

En el informe, la compañía predice:

  • Para 2023, habrá más de 1900 CVE nuevos por mes, incluidas 270 vulnerabilidades de gravedad alta y 155 vulnerabilidades de gravedad crítica, un aumento del 13 % en las CVE mensuales promedio en comparación con los niveles publicados de 2023.
  • El 94% de las organizaciones escaneadas en el último año tenían al menos un servicio sin cifrar expuesto a Internet.
  • En promedio, en 2023, los exploits verificados se publicaron en Exploit-DB 30 días después del CVE, y la empresa encontró evidencia de posibles exploits en los repositorios de GitHub 58 días después de la divulgación.

El nuevo CVE de prueba de concepto pone en riesgo a las organizaciones que usan ManageEngine

Informes de seguridad de lectura obligada

Bitdefender descubrió un exploit de prueba de concepto armado para CVE-2023-47966, explotando una vulnerabilidad de ejecución remota de código. Dirigido a organizaciones que utilizan el popular paquete de administración de TI ManageEngine.

Bitdefender Labs está investigando un incidente que marcó en su software ManageEngine ServiceDesk, ya que permitió a los atacantes ejecutar código remoto en servidores sin parches, que podría usarse para instalar herramientas de espionaje y malware.

Los analistas de la compañía informan que el CVE fue atacado a nivel mundial, implementando Netcat.exe, Colbalt Strike Beacon y Buhti ransomware para acceder, espiar y propagar malware.

«Según nuestro análisis, entre 2000 y 4000 servidores accesibles desde Internet ejecutan uno de los productos vulnerables», dijo Bitdefender, y señaló que no todos los servidores podrían explotarse utilizando el código presentado en la prueba de concepto. «Sin embargo, instamos a todas las empresas que ejecutan estas versiones vulnerables a parchear de inmediato».

Lorenz recupera el acceso a las víctimas a través de una VPN comprometida

Arctic Wolf acaba de publicar su propio informe que detalla una serie de descarados ataques repetidos por parte del notorio grupo de ransomware Lorenz.La empresa Observado Eso Los atacantes aprovecharon las cuentas VPN comprometidas para recuperar el acceso al entorno de la víctima y ejecutar Magnet RAM Capture, sin pasar por la detección y respuesta del punto final de la víctima. Magnet es una herramienta de creación de imágenes gratuita que utilizan los equipos forenses y de aplicación de la ley para capturar la memoria física de los dispositivos de las víctimas. (Figura B).

Figura B

Un mensaje en fuente estilizada que dice ENCRIPTADO POR LORENZ Su archivo ha sido descargado, encriptado y actualmente no está disponible.Imagen: lobo ártico. Malas noticias del ransomware Lorenz.

Arctic Wolf Labs dijo que ha notificado a Magnet Forensics de casos conocidos en los que el grupo de Lorenz abusa de sus herramientas.

Daniel Thanos, vicepresidente y director de Arctic Wolf Labs, dijo que con el rápido aumento del delito cibernético, las organizaciones deben asegurarse de continuar equipando al talento en ciberseguridad para mantenerse al tanto de los nuevos cambios en las tácticas, técnicas y procedimientos de los actores de amenazas.

«Los actores de amenazas han demostrado que adoptarán rápidamente nuevos exploits, métodos de evasión y encontrarán nuevas herramientas legítimas para abusar en sus ataques para mezclarse con la actividad normal del host y la red», dijo Thanos. La utilidad es otro ejemplo de esto».

LEER  Alrededor de 2000 Citrix NetScalers comprometidos en una campaña de ataque masivo
Etiquetas
0 0 1 minuto de lectura

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba