Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Hackers chinos aprovechan las fallas de Ivanti VPN para implementar nuevo malware
  • Tecnología

Hackers chinos aprovechan las fallas de Ivanti VPN para implementar nuevo malware

teknomers 29 de Şubat de 2024 (Last updated: 29 de Şubat de 2024) 5 minutes read
Hackers chinos aprovechan las fallas de Ivanti VPN para implementar


Al menos dos grupos diferentes de ciberespionaje sospechosos de estar vinculados a China, rastreados como UNC5325 y UNC3886se han atribuido a la explotación de fallas de seguridad en los dispositivos Ivanti Connect Secure VPN.

UNC5325 abusó de CVE-2024-21893 para entregar una amplia gama de nuevo malware llamado LITTLELAMB.WOOLTEA, PITSTOP, PITDOG, PITJET y PITHOOK, además de intentar mantener el acceso persistente a los dispositivos comprometidos, dijo Mandiant.

La firma de inteligencia de amenazas propiedad de Google ha evaluado con confianza moderada que UNC5325 está asociado con UNC3886 debido a las superposiciones de código fuente en LITTLELAMB.WOOLTEA y PITHOOK con el malware utilizado por este último.

Vale la pena señalar que UNC3886 tiene un historial de aprovechar fallas de día cero en soluciones Fortinet y VMware para implementar una variedad de implantes como VIRTUALPITA, VIRTUALPIE, THINCRUST y CASTLETAP.

“UNC3886 se ha dirigido principalmente a la base industrial de defensa, la tecnología y las organizaciones de telecomunicaciones ubicadas en los EE. UU. y [Asia-Pacific] regiones”, investigadores de Mandiant dicho.

Se dice que la explotación activa de CVE-2024-21893, una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en el componente SAML de Ivanti Connect Secure, Ivanti Policy Secure e Ivanti Neurons para ZTA, por parte de UNC5325 ocurrió ya en enero. 19 de septiembre de 2024, dirigido a un número limitado de dispositivos.

La seguridad cibernética

La cadena de ataque implica combinar CVE-2024-21893 con una vulnerabilidad de inyección de comandos previamente revelada y rastreada como CVE-2024-21887 para obtener acceso no autorizado a dispositivos susceptibles, lo que en última instancia conduce a la implementación de una nueva versión de BUSHWALK.

Algunos casos también han implicado el uso indebido de componentes legítimos de Ivanti, como los complementos de SparkGateway, para eliminar cargas útiles adicionales. Esto incluye el complemento PITFUEL para cargar un objeto compartido malicioso con nombre en código LITTLELAMB.WOOLTEA, que viene con capacidades para persistir en eventos de actualización del sistema, parches y restablecimientos de fábrica.

“Si bien los intentos limitados observados para mantener la persistencia no han tenido éxito hasta la fecha debido a una falta de lógica en el código del malware para tener en cuenta una discrepancia en la clave de cifrado, demuestra aún más hasta dónde llegará UNC5325 para mantener el acceso a objetivos prioritarios y resalta la Es importante garantizar que los dispositivos de red tengan las últimas actualizaciones y parches”, señaló la empresa.

Además, actúa como una puerta trasera que admite la ejecución de comandos, administración de archivos, creación de shell, proxy SOCKS y tunelización del tráfico de red.

También se observa otro complemento malicioso de SparkGateway denominado PITDOG que inyecta un objeto compartido conocido como PITHOOK para ejecutar persistentemente un implante denominado PITSTOP que está diseñado para la ejecución de comandos de shell, escritura y lectura de archivos en el dispositivo comprometido.

Defectos de Ivanti VPN

Mandiant describió que el actor de amenazas demostró una “comprensión matizada del dispositivo y su capacidad para subvertir la detección a lo largo de esta campaña” y utilizó técnicas de vida de la tierra (LotL) para pasar desapercibido.

La firma de ciberseguridad dijo que espera que “UNC5325, así como otros actores de espionaje del nexo con China, continúen aprovechando las vulnerabilidades de día cero en los dispositivos de borde de la red, así como el malware específico de los dispositivos para obtener y mantener el acceso a los entornos de destino”.

Vínculos encontrados entre Volt Typhoon y UTA0178

La divulgación se produce cuando la empresa de ciberseguridad industrial Dragos atribuido Volt Typhoon (también conocido como Voltzite) patrocinado por China para actividades de reconocimiento y enumeración dirigidas a múltiples compañías eléctricas, servicios de emergencia, proveedores de telecomunicaciones, bases industriales de defensa y servicios satelitales con sede en EE. UU.

La seguridad cibernética

“Las acciones de Voltzite hacia entidades eléctricas, telecomunicaciones y sistemas GIS de Estados Unidos significan objetivos claros para identificar vulnerabilidades dentro de la infraestructura crítica del país que pueden ser explotadas en el futuro con ciberataques destructivos o disruptivos”, dijo.

Desde entonces, la huella victimológica de Volt Typhoon se ha ampliado para incluir proveedores africanos de transmisión y distribución eléctrica, con evidencia que conecta al adversario con UTA0178, un grupo de actividad de amenazas vinculado a la explotación de día cero de las fallas de Ivanti Connect Secure a principios de diciembre de 2023.

Defectos de Ivanti VPN

El actor de ciberespionaje, que depende en gran medida de los métodos de LotL para eludir la detección, Uniones Otros dos nuevos grupos, a saber, Gananite y Laurionite, que salieron a la luz en 2023, llevan a cabo operaciones de reconocimiento a largo plazo y robo de propiedad intelectual dirigidas a infraestructuras críticas y entidades gubernamentales.

“Voltzite utiliza herramientas mínimas y prefiere realizar sus operaciones ocupando el menor espacio posible”, explicó Dragos. “Voltzite se centra principalmente en la evasión de detección y el acceso persistente a largo plazo con la intención evaluada de espionaje a largo plazo y exfiltración de datos”.

(La historia se actualizó después de la publicación para enfatizar que los intentos de lograr persistencia en los dispositivos VPN no tuvieron éxito).

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Van Tigchelt tras el revuelo en torno a Reuzegom y Acid: “Si hay justicia de clases, debemos trazarla”
Next: New York Community Bancorp señala “debilidades materiales” al cambiar de director ejecutivo

Related Stories

Los Emiratos Árabes Unidos obtienen acceso libre a los chips
  • Tecnología

Los Emiratos Árabes Unidos obtienen acceso libre a los chips de IA y al material militar estadounidenses

teknomers 11 de Temmuz de 2026
Pénurie d'hélium: la alerta de Intel sobre los chips IA
  • Tecnología

Pénurie d’hélium: la alerta de Intel sobre los chips IA reavivada por la prohibición de exportación de China

teknomers 11 de Temmuz de 2026
Esta exclusiva de PlayStation muy esperada tendrá su versión física
  • Tecnología

Esta exclusiva de PlayStation muy esperada tendrá su versión física con disco.

teknomers 11 de Temmuz de 2026

You May Have Missed

«No hay nada de lo que debería avergonzarme»: la sorprendente
  • Deporte

«No hay nada de lo que debería avergonzarme»: la sorprendente similitud de este modelo ruso con el noruego Erling Haaland

teknomers 11 de Temmuz de 2026
  • Cultura

«Es mi historia, la del padre de mis hijos…»: en el festival Off de Avignon, Aurore Auteuil interpreta a un hombre

teknomers 11 de Temmuz de 2026
Los Emiratos Árabes Unidos obtienen acceso libre a los chips
  • Tecnología

Los Emiratos Árabes Unidos obtienen acceso libre a los chips de IA y al material militar estadounidenses

teknomers 11 de Temmuz de 2026
Un atasco de 937 km en los salidas de vacaciones,
  • Entretenimiento

Un atasco de 937 km en los salidas de vacaciones, en plena canícula.

teknomers 11 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.