Resumen de THN: principales amenazas, herramientas y prácticas de ciberseguridad (del 28 de octubre al 3 de noviembre)


04 de noviembre de 2024Las noticias de los piratas informáticosResumen semanal / Ciberseguridad

¡Esta semana fue un incendio total en un contenedor de basura digital! Los piratas informáticos decían: “¡Causemos el caos!”. y perseguimos todo, desde nuestros navegadores hasta esas elegantes cámaras que hacen zoom y giran. (Ya sabes, ¿los que usan en las películas de espías? 🕵️‍♀️)

¡Estamos hablando de robots que roban contraseñas, extensiones furtivas que te espían e incluso ninjas que piratean la nube! 🥷 Es suficiente para que quieras tirar tu teléfono al océano. (¡Pero no hagas eso, lo necesitas para leer este boletín!)

¿La buena noticia? Tenemos información privilegiada sobre los últimos dramas. Piense en este boletín como su hoja de trucos para sobrevivir al apocalipsis digital. Analizaremos las mayores amenazas y le brindaremos el conocimiento para burlar a esos molestos piratas informáticos. ¡Vamos!

⚡ Amenaza de la semana

Los piratas informáticos norcoreanos implementan Play Ransomware: En lo que es una señal de que se están desdibujando los límites entre los grupos de Estados-nación y los actores del cibercrimen, ha surgido que el grupo de hackers patrocinado por el Estado de Corea del Norte llamó andariel probablemente colaboró ​​con los actores del ransomware Play en un ataque de extorsión digital que tuvo lugar en septiembre de 2024. El compromiso inicial se produjo en mayo de 2024. El incidente se superpone con un conjunto de intrusiones que implicó atacar a tres organizaciones diferentes en los EE. UU. en agosto de 2024 como parte de un probable ataque con motivación financiera.

🔔 Noticias destacadas

  • Un actor de amenazas chino utiliza la botnet Quad7 para rociar contraseñas: Un actor de amenazas chino rastreado por Microsoft como Storm-0940 está aprovechando una botnet llamada Quad7 (también conocida como CovertNetwork-1658) para orquestar ataques de pulverización de contraseñas altamente evasivos. Los ataques allanaron el camino para el robo de credenciales de múltiples clientes de Microsoft, que luego se utilizan para infiltrarse en redes y realizar actividades posteriores a la explotación.
  • Opera solucionó un error que podría haber expuesto datos confidenciales: Se ha revelado un nuevo ataque de navegador llamado CrossBarking en el navegador web Opera que compromete interfaces de programación de aplicaciones (API) privadas para permitir el acceso no autorizado a datos confidenciales. El ataque funciona mediante el uso de una extensión de navegador maliciosa para ejecutar código malicioso en el contexto de sitios con acceso a esas API privadas. Estos sitios incluyen los subdominios propios de Opera, así como dominios de terceros como Instagram, VK y Yandex.
  • Evasive Panda utiliza una nueva herramienta para filtrar datos en la nube: El actor de amenazas vinculado a China conocido como Evasive Panda infectó una entidad gubernamental y una organización religiosa en Taiwán con un nuevo conjunto de herramientas posteriores al compromiso con nombre en código CloudScout que permite robar datos de Google Drive, Gmail y Outlook. La actividad se detectó entre mayo de 2022 y febrero de 2023.
  • La Operación Magnus interrumpe RedLine y MetaStealer: Una operación policial coordinada dirigida por la Policía Nacional Holandesa provocó la interrupción de la infraestructura asociada con el malware RedLine y MetaStealer. El esfuerzo provocó el cierre de tres servidores en los Países Bajos y la confiscación de dos dominios. Al mismo tiempo, un individuo anónimo fue arrestado y un ruso llamado Maxim Rudometov fue acusado de actuar como uno de los desarrolladores y administradores de RedLine Stealer.
  • La degradación de Windows permite la ejecución de código a nivel de kernel: Una nueva investigación ha descubierto que una herramienta que podría usarse para revertir un software de Windows actualizado a una versión anterior también podría usarse como arma para revertir un parche para una omisión de Driver Signature Enforcement (DSE) y cargar controladores de kernel no firmados, lo que lleva a Ejecución de código arbitrario en un nivel privilegiado. Microsoft dijo que está desarrollando una actualización de seguridad para mitigar esta amenaza.

‎️‍🔥 CVE de tendencia

CVE-2024-50550, CVE-2024-7474, CVE-2024-7475, CVE-2024-5982, CVE-2024-10386, CVE-2023-6943, CVE-2023-2060, CVE-2024-45274, CVE-2024-45275, CVE-2024-51774

📰 Alrededor del mundo cibernético

  • Fallos de seguridad en las cámaras PTZ: Los actores de amenazas están intentando explotar dos vulnerabilidades de día cero en cámaras de transmisión en vivo con giro, inclinación y zoom (PTZ) utilizadas en entornos industriales, de atención médica, conferencias de negocios, gobiernos, lugares religiosos y tribunales. Las cámaras afectadas utilizan el firmware de la cámara VHD PTZ, dijo. “Los dispositivos también podrían incluirse en una botnet y utilizarse para ataques de denegación de servicio”. PTZOptics ha publicado actualizaciones de firmware que solucionan estos defectos.
  • Múltiples vulnerabilidades en OpenText NetIQ iManager: Casi una docena de fallas han sido revelado en OpenText NetIQ iManager, una herramienta de gestión de directorios empresariales, algunos de los cuales podrían ser encadenados por un atacante para lograr la ejecución remota de código previo a la autenticación, o permitir que un adversario con credenciales válidas aumente sus privilegios dentro de la plataforma y, en última instancia, lograr la autenticación posterior. ejecución de código. Las deficiencias se solucionaron en la versión 3.2.6.0300 lanzada en abril de 2024.
  • Phish ‘n’ Ships utiliza tiendas falsas para robar información de tarjetas de crédito: Se ha descubierto que un esquema de fraude “en expansión” denominado Phish ‘n’ Ships dirige el tráfico a una red de tiendas web falsas al infectar sitios web legítimos con una carga útil maliciosa que es responsable de crear listados de productos falsos y publicar estas páginas en los resultados de los motores de búsqueda. Los usuarios que hacen clic en estos enlaces de productos falsos son redirigidos a un sitio web fraudulento bajo el control del atacante, donde se les pide que ingresen la información de su tarjeta de crédito para completar la compra. Se dice que la actividad, en curso desde 2019, infectó más de 1.000 sitios web y creó 121 tiendas web falsas para engañar a los consumidores. “Los actores de amenazas utilizaron múltiples vulnerabilidades conocidas para infectar una amplia variedad de sitios web y presentar listados de productos falsos que llegaron a la cima de los resultados de búsqueda”, HUMAN dicho. “El proceso de pago luego se ejecuta a través de una tienda web diferente, que se integra con uno de los cuatro procesadores de pago para completar el pago. Y aunque el dinero del consumidor se trasladará al actor de la amenaza, el artículo nunca llegará”. Phish ‘n’ Ships tiene algunos elementos en común con falso bazarotra red criminal de comercio electrónico que salió a la luz a principios de este año.
  • Funnull detrás de campañas fraudulentas y sitios de juegos de azar: Funnull, la empresa china que adquirió Polyfill[.]io JavaScript a principios de este año se ha vinculado a estafas de inversión, aplicaciones comerciales falsas y redes de juegos de azar sospechosas. El clúster de infraestructura malicioso recibió el nombre en código Triad Nexus. En julio, se descubrió que la empresa insertaba malware en polyfill.js que redirigía a los usuarios a sitios web de juegos de apuestas. “Antes del polyfill[.]io campaña de la cadena de suministro, ACB Group, la empresa matriz propietaria de CDN de Funnull, tenía una página web pública en ‘acb[.]bet’, que actualmente está fuera de línea”, Silent Push dicho. “El Grupo ACB afirma ser propietario de Funnull[.]io y varias otras marcas de deportes y apuestas”.
  • Fallos de seguridad solucionados en los controladores de carga de CA: Los investigadores de ciberseguridad han descubierto múltiples deficiencias de seguridad en el firmware de los controladores de carga AC CHARX SEC-3100 de Phoenix Contact que podrían permitir a un atacante remoto no autenticado restablecer la contraseña de la cuenta de la aplicación de usuario al valor predeterminado, cargar archivos de script arbitrarios, escalar privilegios y ejecutar código arbitrario en el contexto de raíz. El

🔥 Recursos, guías y conocimientos

🎥 Seminario web para expertos

Conozca las tácticas de explotación de identidad de LUCR-3 y cómo detenerlasÚnase a nuestro seminario web exclusivo con Ian Ahl para descubrir las tácticas avanzadas de ataque basadas en identidades de LUCR-3 dirigidas a entornos de nube y SaaS.

Aprenda estrategias prácticas para detectar y prevenir infracciones y proteger su organización de estas amenazas sofisticadas. No te lo pierdas: regístrate ahora y fortalece tus defensas.

🔧 Herramientas de ciberseguridad

  • Evaluación de riesgos SAIF — Google presenta el Evaluación de riesgos SAIFuna herramienta esencial para que los profesionales de la ciberseguridad mejoren las prácticas de seguridad de la IA. Con listas de verificación personalizadas para riesgos como el envenenamiento de datos y la inyección rápida, esta herramienta traduce marcos complejos en información procesable y genera informes instantáneos sobre vulnerabilidades en sus sistemas de inteligencia artificial, lo que lo ayuda a abordar problemas como la manipulación de la fuente del modelo.
  • CVEMapa — Una nueva herramienta fácil de usar para navegar por el complejo mundo de las vulnerabilidades y exposiciones comunes (CVE). Esta herramienta de interfaz de línea de comandos (CLI) simplifica el proceso de exploración de varias bases de datos de vulnerabilidades, lo que le permite acceder y administrar fácilmente información sobre vulnerabilidades de seguridad.

🔒 Consejo de la semana

Prácticas esenciales de seguridad móvil que necesita — Para garantizar una seguridad móvil sólida, priorice el uso de aplicaciones de código abierto que hayan sido examinadas por expertos en ciberseguridad para mitigar las amenazas ocultas. Utilice herramientas de monitoreo de red como NetGuard o AFMuro+ para crear reglas de firewall personalizadas que restrinjan qué aplicaciones pueden acceder a Internet, garantizando que solo estén conectadas las de confianza. Audite los permisos de las aplicaciones con herramientas avanzadas de administración de permisos que revelan los niveles de acceso tanto en segundo plano como en primer plano. Configure un solucionador de DNS como SiguienteDNS o cuádruple9 para bloquear sitios maliciosos e intentos de phishing antes de que lleguen a su dispositivo. Para una navegación segura, utilice navegadores centrados en la privacidad como Enfoque de Firefox o Corajudoque bloquea rastreadores y anuncios de forma predeterminada. Supervise los registros de actividad del dispositivo con herramientas como Visor de registro del sistema para identificar procesos no autorizados o posible filtración de datos. Emplear entornos seguros de aplicaciones, como Isla o Refugiopara aislar aplicaciones que requieren permisos riesgosos. Opte por aplicaciones que se hayan sometido a auditorías de seguridad independientes y utilice VPN configuradas con AlambreGuardia para conexiones de red cifradas y de baja latencia. Actualice periódicamente su firmware para parchear las vulnerabilidades y considere usar un sistema operativo móvil con funciones de refuerzo de seguridad, como GrafenoOS o LineageOSpara limitar su superficie de ataque y protegerse contra vulnerabilidades comunes.

Conclusión

¡Y aquí terminamos las ciberaventuras de esta semana! Loco, ¿verdad? Pero aquí hay un hecho alucinante: ¿sabías que cada 39 segundos hay un nuevo ciberataque en algún lugar del mundo? ¡Manténgase alerta! Y si quieres convertirte en un verdadero ciberninja, visita nuestro sitio web para conocer las últimas noticias sobre hackers. ¡Nos vemos la próxima semana! 👋

¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57