Blog

Anomali Cyber Watch: TA4903 Spoofs U.S. Agencies for BEC, Malicious Script Hijacks Browsers to Conduct WordPress Brute Force, and More

Anomali Threat Research
March 11, 2024
Table of contents

Las diversas historias de inteligencia sobre amenazas de esta versión de Anomali Cyber Watch abordan los siguientes temas: Puertas traseras, desagües, suplantación de identidad, ratas, construcción de túneles, y vulnerabilidades. Los IOC relacionados con estas historias se adjuntan a Anomali Cyber Watch y se pueden usar para comprobar sus registros en busca de posibles actividades maliciosas.

Image


Figura 1: Gráficos resumidos del IOC. Estos gráficos resumen los COI adjuntos a esta revista y ofrecen una idea de las amenazas discutidas.

Noticias cibernéticas de actualidad e inteligencia sobre amenazas

Magnet Goblin ataca servidores públicos que utilizan vulnerabilidades de 1 día

(publicado: 8 de marzo de 2024)

Al menos desde enero de 2022, un actor de amenazas con motivaciones financieras llamado Magnet Goblin ha estado adoptando y aprovechando rápidamente las vulnerabilidades de un día en los servicios públicos como vector de infección inicial. Según Check Point, el actor se ha centrado en Ivanti, Magento, Qlik Sense y posiblemente Apache ActiveMQ. El análisis reveló una nueva versión para Linux de un malware llamado NerbianRAT, además de WARPWIRE, un ladrón de credenciales de JavaScript, y Ligolo, una herramienta de tunelización de código abierto escrita en Golang. El arsenal del actor también incluye MiniRbian, una pequeña puerta trasera de Linux, y herramientas de monitoreo y administración remotas (RMM) para Windows, como ScreenConnect y AnyDesk. La atribución exacta de Magnet Goblin no está clara, pero algunos investigadores han vinculado sus actividades a las intrusiones del ransomware Cactus.
Comentario del analista: En un caso de Ivanti Connect Secure VPN (CVE-2024-21887), Magnet Goblin pudo empezar a explotarla tan rápido como un día después de la publicación de una prueba de concepto. Describe la necesidad de administrar los parches y reaccionar inmediatamente ante las revelaciones de vulnerabilidades de seguridad. Todos los indicadores conocidos asociados a Magnet Goblin están disponibles en la plataforma Anomali y se recomienda a los clientes que los bloqueen en su infraestructura.
ATAQUE A MITRA: [MITRE ATT&CK] Acceso inicial: explote una aplicación pública [T1190] | [MITRE ATT&CK] T1572 - Túneles de protocolo | [MITRE ATT&CK] T1497: Virtualización/evasión de entornos aislados | Colección [MITRE ATT&CK] - Captura de pantalla [T1113] | [MITRE ATT&CK] T1125 - Captura de vídeo | [MITRE ATT&CK] Comando y control: software de acceso remoto [T1219]
Etiquetas: Actor: Magnet-Goblin, Malware: Nerbian RAT, Detección: troyano: Linux/Nerbian, Malware: Mini Nerbian, tipo de malware: RAT, malware: Warpwire, idioma: JavaScript, tipo de malware: Credential-Stealer, malware: ligolo, idioma: go, tipo de malware: tunneling, software de destino: Magento, vulnerabilidad: CVE-2024-24086, Software de destino: Qlik-Sense, Vulnerabilidad: CVE-2023-41265, Vulnerabilidad: CVE-2023-41266, Vulnerabilidad: CVE-2023-48365, Software de destino: IV Anticonnect-Secure, Vulnerabilidad: CVE-2023-46805, Vulnerabilidad: CVE-2024-21887, Vulnerabilidad: CVE-2024-21888, Vulnerabilidad: CVE-2024-21888 1893, tipo de explotación: 1 día, Herramienta: ScreenConnect, Herramienta: AnyDesk, Tipo de archivo: ELF, Sistema de destino: Windows, Sistema de destino: Linux

TA4903: Un actor engaña al gobierno de los Estados Unidos y a las pequeñas empresas mediante el phishing y las ofertas de BEC

(publicado: 6 de marzo de 2024)

Un actor de amenazas con motivaciones financieras llamado TA4903 ha participado activamente en actividades de suplantación de identidad y compromiso del correo electrónico empresarial (BEC) desde al menos 2019. Desde diciembre de 2021, el actor se ha hecho pasar por varias entidades del gobierno de EE. UU. para engañar a sus objetivos y hacerles abrir archivos maliciosos, incluidos el Departamento de Agricultura (2023), el Departamento de Comercio (2022), el Departamento de Vivienda y Desarrollo Urbano (2022), el Departamento de Trabajo (2021 y 2024) y el Departamento de Transporte (2022). TA4903 ha aumentado su actividad y variedad de suplantación de identidad desde mediados de 2023, dirigidas a organizaciones de los sectores de la construcción, las finanzas, la atención médica, la alimentación y las bebidas, entre otros. Sus correos electrónicos de suplantación de identidad contienen enlaces o archivos adjuntos con un enlace y/o códigos QR en documentos PDF adjuntos. Una página de destino común es una página de suplantación de identidad de credenciales de Microsoft O365 suplantada. Durante un período de 2023, el TA4903 utilizó EvilProxy, un conjunto de herramientas para eludir la autenticación multifactorial de proxy inverso. Un honeypot de Proofpoint demostró el uso de credenciales fraudulentas para iniciar sesión y buscar en el historial de correos electrónicos palabras clave como «información bancaria», «pago» y «comerciante». Esto le da al actor acceso a los hilos existentes para llevar a cabo actividades de BEC, como el fraude de facturas o la redirección de nóminas mediante técnicas de secuestro de hilos.
Comentario del analista: La capacitación educativa sobre suplantación de identidad debe crear conciencia de que los atacantes pueden hacerse pasar por sus reguladores y proveedores y utilizar cadenas de correo electrónico robadas. Se invita a las organizaciones a utilizar Anomali Premium Digital Risk Protection para descubrir los ataques de suplantación de identidad relacionados con su marca. Los indicadores asociados a las campañas del TA4903 están disponibles en la plataforma Anomali y se recomienda a los clientes que los bloqueen en su infraestructura.
ATAQUE A MITRA: [MITRE ATT&CK] T1598.002 - Suplantación de identidad para obtener información: archivo adjunto de suplantación de identidad | [MITRE ATT&CK] T1598.003 - Suplantación de identidad para obtener información: enlace de suplantación de identidad | [MITRE ATT&CK] T1114.002 - Recopilación de correo electrónico: recopilación remota de correos electrónicos | [MITRE ATT&CK] Escalación de privilegios: cuentas válidas [T1078]
Etiquetas: Actor: TA4903, País objetivo: EE. UU., Técnica: suplantación de identidad de credenciales, Técnica: BEC, Técnica: secuestro de hilos, malware: Evil Proxy, Abusado: código QR, actor: Edward-Ambakederemo, industria objetivo: construcción, industria objetivo: finanzas, industria objetivo: alimentación, industria objetivo: atención médica, identidad objetivo: Usuario de Microsoft-O365

Spinning YARN: una nueva campaña de malware para Linux dirigida a Docker, Apache Hadoop, Redis y Confluence

(publicado: 6 de marzo de 2024)

Los investigadores de Cado Security descubrieron una nueva campaña que aprovechaba servidores mal configurados que ejecutaban Apache Hadoop YARN, Docker, Confluence o Redis con un nuevo malware basado en Golang. El malware automatiza el descubrimiento y la puesta en peligro de los hosts, aprovechando las debilidades de configuración y las vulnerabilidades previamente reveladas, como el CVE-26134 en Atlassian Confluence. El actor añadió la posibilidad de generar un contenedor Docker y escapar de él al host subyacente. El actor utiliza varios scripts de shell y técnicas comunes de ataque de Linux para instalar un minero de criptomonedas, establecer la persistencia y configurar el shell inverso de Platypus de código abierto. Los rootkits en modo usuario ayudan a ocultar los procesos maliciosos.
Comentario del analista: Esta campaña destaca hasta qué punto el actor explota los servidores que están mal configurados o que no se han actualizado con los parches de seguridad recientes. Las organizaciones deben cumplir con la administración de vulnerabilidades y parches, especialmente en los sistemas y servicios expuestos a Internet. Todos los indicadores conocidos asociados a esta campaña están disponibles en la plataforma Anomali y se recomienda a los clientes que los bloqueen en su infraestructura.
ATAQUE A MITRA: [MITRE ATT&CK] T1014 - Rootkit | [MITRE ATT&CK] Acceso inicial: explote una aplicación pública [T1190] | [MITRE ATT&CK] Comando y control: protocolo de capa de aplicación estándar [T1071] | [MITRE ATT&CK] Evasión defensiva: archivos o información ofuscados [T1027] | [MITRE ATT&CK] Evasión defensiva: deofuscar/decodificar archivos o información [T1140] | [MITRE ATT&CK] T1053.003 - Tarea/trabajo programado: Cron
Etiquetas: Campaña: spinning-yarn, software objetivo: Docker, software objetivo: Apache-Hadoop, software objetivo: Redis, software objetivo: Confluence, vulnerabilidad: CVE-26134, tipo de explotación: RCE, malware: Platypus, tipo de malware: Reverse-shell, puerto abierto: 80, puerto abierto: 2375, puerto abierto: 6379, puerto abierto: 8088, puerto abierto: 8090, sistema de destino: Linux

De Web3 Drainer a WordPress Brute Force Attack distribuido

(publicado: 5 de marzo de 2024)

Los investigadores de Sucuri descubrieron a un actor de amenazas anónimo conocido por irrumpir en sitios para inyectar scripts que agotan monederos criptográficos. Estos scripts roban todas las criptomonedas y activos cuando alguien conecta su billetera. El actor de amenazas ahora ha pasado de agotar carteras a secuestrar los navegadores de los visitantes para llevar a cabo ataques de fuerza bruta en otros sitios de WordPress. El actor compromete un sitio de WordPress para inyectar código malicioso en las plantillas HTML, lo que luego obliga a los navegadores de los visitantes a realizar ataques de fuerza bruta para obtener credenciales de cuentas en otros sitios web. BleepingComputer informa que más de 1.700 sitios se han visto comprometidos con estos scripts, lo que ha creado una gran cantidad de usuarios que serán reclutados involuntariamente en este ejército distribuido de fuerza bruta.
Comentario del analista: Todos los indicadores de red conocidos asociados a esta campaña están disponibles en la plataforma Anomali y se recomienda a los clientes que los bloqueen en su infraestructura. Los administradores de sitios web deben esforzarse por seguir buenas políticas de contraseñas y evitar las contraseñas cortas de uso común.
ATAQUE A MITRA: [MITRE ATT&CK] T1110.003 - Fuerza bruta: pulverización de contraseñas | [MITRE ATT&CK] T1584: infraestructura comprometida | [MITRE ATT&CK] T1594 - Búsqueda de sitios web propiedad de víctimas
Etiquetas: Técnica: Fuerza bruta, Técnica: Rociar contraseñas, Tipo de malware: Drainer, Industria objetivo: Criptomoneda, Software de destino: WordPress, Tipo de archivo: PHP, Tipo de archivo: JS

El malware WoGRat explota un bloc de notas (Windows, Linux)

(publicado: 5 de marzo de 2024)

Los investigadores de ASEC han descubierto un nuevo malware llamado WoGrat, que se dirige a los sistemas Windows y Linux. El malware abusa de una plataforma de bloc de notas en línea, AnotePad, para almacenar y recuperar código malicioso. El malware ha estado activo desde finales de 2022 y se dirige principalmente a países asiáticos como China, Hong Kong, Japón y Singapur. Se desconocen los métodos de distribución, pero es probable que la versión de Windows se propague disfrazando las cargas útiles como herramientas de utilidad legítimas. El malware envía un perfil básico del sistema infectado al servidor de comando y control (C2) y recibe comandos para su ejecución. La versión Linux de WoGrat comparte muchas similitudes con la variante de Windows, pero se distingue por utilizar Tiny Shell para las operaciones de enrutamiento y el cifrado adicional en su comunicación con el C2.
Comentario del analista: Los usuarios deben evitar descargar aplicaciones, incluso si parecen legítimas, de tiendas de terceros y sitios para compartir archivos. Todos los indicadores conocidos asociados a las campañas de WoGrat están disponibles en la plataforma Anomali y se recomienda a los clientes que los bloqueen en su infraestructura.
ATAQUE A MITRA: [MITRE ATT&CK] T1036.004 - Disfrazarse: tarea o servicio de mascarada | [MITRE ATT&CK] Picus: explicación de la técnica de descubrimiento de información del sistema - MITRE ATT&CK T1082 | [MITRE ATT&CK] Discovery - Descubrimiento de la configuración de red del sistema [T1016] | [MITRE ATT&CK] T1573.001 - Canal cifrado: criptografía simétrica | [MITRE ATT&CK] Exfiltración: exfiltración por el canal C2 [T1041]
Etiquetas: Malware: Wograt, Detección: Downloader/Win.Wograt, Tipo de malware: Descargador, Detección: BackDoor/Win.Wograt, malware: Wings of God, tipo de malware: Backdoor, idioma: .NET, Detección: Backdoor/Linux.TinyShell, malware: tiny-shell, región objetivo: Asia, país de destino: CN, país de destino: JP, País de destino: HK, País de destino: SG, Abuso: Anotepad, Tipo de archivo: DLL, Tipo de archivo: EXE, Tipo de archivo: PE, Sistema de destino: Windows, Tipo de archivo: ELF, Sistema de destino: Linux

Anomali Threat Research

Anomali's Threat Research team continually tracks security threats to identify when new, highly critical security threats emerge. The Anomali Threat Research team's briefings discuss current threats and risks like botnets, data breaches, misconfigurations, ransomware, threat groups, and various vulnerabilities. The team also creates free and premium threat intelligence feeds for Anomali's industry-leading Threat Intelligence Platform, ThreatStream.

Propel your mission with amplified visibility, analytics, and AI.

Learn how Anomali can help you cost-effectively improve your security posture.