A medida que nos acercamos al final de 2022, observar las amenazas más preocupantes de este año turbulento en términos de números de prueba ofrece una perspectiva basada en amenazas sobre lo que hace que los equipos de seguridad cibernética verifiquen qué tan vulnerables son a amenazas específicas. Estas son las amenazas que más se probaron para validar la resiliencia con el Plataforma de gestión de la postura de seguridad de Cymulate entre el 1 de enero y el 1 de diciembre de 2022.
Manjusaka
Fecha de publicación: agosto de 2022
Con reminiscencias del marco Cobalt Strike y Sliver (ambos producidos comercialmente y diseñados para equipos rojos, pero malversados y utilizados por los actores de amenazas), este marco de ataque emergente tiene el potencial de ser ampliamente utilizado por actores maliciosos. Escrito en Rust y Golang con una interfaz de usuario en chino simple (consulte el diagrama de flujo de trabajo a continuación), este software es de origen chino.
Manjasuka lleva implantes de Windows y Linux en Rust y hace que un servidor C2 listo para usar esté disponible de forma gratuita, con la posibilidad de crear implantes personalizados.
Contexto geopolítico
Manjasuka se diseñó para uso delictivo desde el principio, y 2023 podría definirse por un mayor uso delictivo de este producto, ya que se distribuye gratuitamente y reduciría la dependencia delictiva del uso indebido de marcos de simulación y emulación disponibles comercialmente, como Cobalt Strike, Sliver, Ninja, Bruce Ratel C4, etc.
Al momento de escribir este artículo, no había indicios de que los creadores de Manjasuka fueran patrocinados por el estado pero, como se indica claramente a continuación, China no ha descansado este año.
Puerta trasera sin energía
Fecha de publicación: febrero de 2022
Powerless Backdoor es la amenaza más popular de este año relacionada con Irán, diseñada para evitar la detección de PowerShell. Sus capacidades incluyen descargar un ladrón de información del navegador y un registrador de teclas, cifrar y descifrar datos, ejecutar comandos arbitrarios y activar un proceso de eliminación.
Contexto geopolítico
El número de amenazas inmediatas atribuidas a Irán aumentó de 8 a 17, más del doble del período similar de 2021. Sin embargo, se ha desacelerado considerablemente desde el 14 de septiembre de la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE. UU. sanciones contra los ciberactores iraníesreduciéndose a un solo ataque imputado a Irán desde entonces.
Las tensiones políticas actuales dentro de Irán sin duda afectarán la frecuencia de los ataques en 2023, pero en esta etapa, es difícil evaluar si aumentarán o disminuirán.
APT 41 dirigido a gobiernos estatales de EE. UU.
Fecha de publicación: marzo de 2022
Ya marcado como muy activo en 2021, APT41 es una actividad de un grupo de atacantes patrocinado por el estado chino que no mostró signos de desaceleración en 2022, y las investigaciones sobre la actividad de APT41 descubrieron evidencia de una campaña deliberada dirigida a los gobiernos estatales de EE. UU.
APT 41 utiliza herramientas de reconocimiento, como Acunetix, Nmap, SQLmap, OneForAll, subdomain3, subDomainsBrute y Sublist3r. También lanza una gran variedad de tipos de ataques, como phishing, abrevadero y ataques a la cadena de suministro, y explota varias vulnerabilidades para comprometer inicialmente a sus víctimas. Más recientemente, se les ha visto usando la herramienta disponible públicamente SQLmap como vector de ataque inicial para realizar inyecciones SQL en sitios web.
Este noviembre, un nuevo subgrupo, Earth Longhi, se unió a la ya larga lista de apodos asociados con APT 41 (ARIUM, Winnti, LEAD, WICKED SPIDER, WICKED PANDA, Blackfly, Suckfly, Winnti Umbrella, Double Dragon). Earth Longhi fue visto apuntando a múltiples sectores en Taiwán, China, Tailandia, Malasia, Indonesia, Pakistán y Ucrania.
Contexto geopolítico
De acuerdo a Informe de defensa digital de Microsoft 2022«Muchos de los ataques que provienen de China están impulsados por su capacidad para encontrar y compilar «vulnerabilidades de día cero»: agujeros únicos sin parches en el software que la comunidad de seguridad no conocía previamente. La colección de estas vulnerabilidades de China parece haber aumentado en los talones. de una nueva ley que requiere que las entidades en China informen las vulnerabilidades que descubran al gobierno antes de compartirlas con otros».
Ataque de phishing de LoLzarus a la industria del Departamento de Defensa
Fecha de publicación: febrero de 2022
Apodada LolZarus, una campaña de phishing intentó atraer a los solicitantes de empleo del sector de defensa de EE. UU. Esta campaña fue identificada inicialmente por Qualys Threat Research, que la atribuyó al actor de amenazas norcoreano Lazarus (también conocido como Dark Seoul, Labyrinth Chollima, Stardust Chollima, BlueNoroff y APT 38). Afiliado a la Oficina General de Reconocimiento de Corea del Norte, este grupo tiene motivaciones tanto políticas como financieras y fue mejor conocido por el ataque de alto perfil en Sondy en 2016 y el ataque de ransomware WannaCry en 2017.
La campaña de phishing de LolZarus se basó en al menos dos documentos, Lockheed_Martin_JobOpportunities.docx y salario_Lockheed_Martin_trabajo_oportunidades_confidencial.doc, que abusaba de macros con alias para renombrar la API utilizada y confiaba en ActiveX Frame1_Layout para automatizar la ejecución del ataque. Luego, la macro cargó el archivo WMVCORE.DLL de Windows Media dll para ayudar a entregar la carga útil de shellcode de la segunda etapa destinada a secuestrar el control y conectarse con el servidor Command & Control.
Contexto geopolítico
Otros dos ataques notorios de Corea del Norte señalados por CISA este año incluyen el uso del ransomware Maui y la actividad en el robo de criptomonedas. El subgrupo de Lazarus, BlueNoroff, parece haberse separado de la especialización en criptomonedas este año para apuntar también a los servidores y bancos SWIFT conectados a criptomonedas. Cymulate asoció siete amenazas inmediatas con Lazarus desde el 1 de enero de 2022.
industrial2
Fecha de publicación: abril de 2022
El estado de alerta máxima de Ucrania, debido al conflicto con Rusia, demostró su eficacia al frustrar un intento de ataque ciberfísico contra subestaciones eléctricas de alto voltaje. Ese ataque se denominó Industroyer2 en memoria del ciberataque Industroyer de 2016, aparentemente dirigido a las centrales eléctricas de Ucrania y con un éxito mínimo, cortando la energía en parte de Kyiv durante aproximadamente una hora.
El nivel de orientación personalizada de Industroyer2 incluía conjuntos de archivos ejecutables especificados estáticamente de parámetros únicos para subestaciones específicas.
Contexto geopolítico
Desafortunadamente, la resistencia cibernética de Ucrania para proteger sus instalaciones críticas es impotente contra los ataques cinéticos, y Rusia parece haber optado ahora por medios militares más tradicionales para destruir centrales eléctricas y otras instalaciones civiles. De acuerdo a ENISAun efecto secundario del conflicto Ucrania-Rusia es un recrudecimiento de las amenazas cibernéticas contra gobiernos, empresas y sectores esenciales como la energía, el transporte, la banca y la infraestructura digital, en general.
En conclusión, a partir de las cinco amenazas más preocupantes de este año, cuatro se han relacionado directamente con actores de amenazas patrocinados por el estado y se desconocen los actores de amenazas detrás de la quinta, parece que las tensiones geopolíticas están en la raíz de las preocupaciones de amenazas más candentes. para equipos de ciberseguridad.
Dado que los atacantes patrocinados por el estado suelen tener acceso a recursos cibernéticos inalcanzables para la mayoría de las empresas, la defensa preventiva contra ataques complejos debe concentrarse en la validación de la seguridad y los procesos continuos centrados en identificar y cerrar las brechas de seguridad en contexto.
Nota: Este artículo fue escrito y contribuido por David Klein, ciberevangelista de Cymulate.