{"id":1131710,"date":"2024-01-12T15:59:26","date_gmt":"2024-01-12T15:59:26","guid":{"rendered":"https:\/\/teknomers.com\/es\/actores-de-estado-nacion-utilizan-ivanti-vpn-zero-days-como-arma-implementando-5-familias-de-malware\/"},"modified":"2024-01-12T15:59:30","modified_gmt":"2024-01-12T15:59:30","slug":"actores-de-estado-nacion-utilizan-ivanti-vpn-zero-days-como-arma-implementando-5-familias-de-malware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/actores-de-estado-nacion-utilizan-ivanti-vpn-zero-days-como-arma-implementando-5-familias-de-malware\/","title":{"rendered":"Actores de estado-naci\u00f3n utilizan Ivanti VPN Zero-Days como arma, implementando 5 familias de malware"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>12 de enero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Inteligencia de vulnerabilidades\/amenazas<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Presuntos actores estatales implementaron hasta cinco familias diferentes de malware como parte de actividades posteriores a la explotaci\u00f3n aprovechando dos vulnerabilidades de d\u00eda cero en dispositivos VPN Ivanti Connect Secure (ICS) desde principios de diciembre de 2023.<\/p>\n

“Estas familias permiten a los actores de amenazas eludir la autenticaci\u00f3n y proporcionar acceso de puerta trasera a estos dispositivos”, Mandiant dicho<\/a> en un an\u00e1lisis publicado esta semana. La firma de inteligencia de amenazas propiedad de Google est\u00e1 rastreando al actor de amenazas bajo el apodo UNC5221<\/strong>. <\/p>\n

Los ataques aprovechan una cadena de exploits que comprende una falla de omisi\u00f3n de autenticaci\u00f3n (CVE-2023-46805) y una vulnerabilidad de inyecci\u00f3n de c\u00f3digo (CVE-2024-21887) para hacerse cargo de instancias susceptibles.<\/p>\n

\"La<\/a><\/center><\/div>\n

Volexity, que atribuy\u00f3 la actividad a un presunto actor de espionaje chino llamado UTA0178, dijo que las fallas gemelas se utilizaron para obtener acceso inicial, implementar webshells, puertas traseras de archivos leg\u00edtimos, capturar credenciales y datos de configuraci\u00f3n, y girar m\u00e1s hacia el entorno de la v\u00edctima.<\/p>\n

Seg\u00fan Ivanti, las intrusiones afectaron a menos de 10 clientes, lo que indica que podr\u00eda tratarse de una campa\u00f1a muy dirigida. Parches para las dos vulnerabilidades (informalmente llamados Conectar alrededor<\/a>) se espera que est\u00e9n disponibles en la semana del 22 de enero.<\/p>\n

El an\u00e1lisis de los ataques realizado por Mandiant ha revelado la presencia de cinco familias diferentes de malware personalizado, adem\u00e1s de inyectar c\u00f3digo malicioso en archivos leg\u00edtimos dentro de ICS y utilizar otras herramientas leg\u00edtimas como Caja ocupada<\/a> y PySoxy<\/a> para facilitar la actividad posterior.<\/p>\n

“Debido a que ciertas secciones del dispositivo son de solo lectura, UNC5221 aprovech\u00f3 un script Perl (sessionserver.pl) para volver a montar el sistema de archivos como lectura\/escritura y habilitar la implementaci\u00f3n de THINSPOOL, un dropper de scripts de shell que escribe el shell web LIGHTWIRE en un archivo leg\u00edtimo Connect Secure y otras herramientas de seguimiento”, dijo la compa\u00f1\u00eda.<\/p>\n

LIGHTWIRE es uno de los dos shells web, el otro es WIREFIRE, que son “puntos de apoyo livianos” dise\u00f1ados para garantizar el acceso remoto persistente a los dispositivos comprometidos. Mientras que LIGHTWIRE est\u00e1 escrito en Perl CGI, WIREFIRE est\u00e1 implementado en Python.<\/p>\n

\"La<\/a><\/center><\/div>\n

Tambi\u00e9n se utilizan en los ataques un ladr\u00f3n de credenciales basado en JavaScript denominado WARPWIRE y una puerta trasera pasiva llamada ZIPLINE que es capaz de descargar\/cargar archivos, establecer un shell inverso, crear un servidor proxy y configurar un servidor de t\u00fanel para distribuir el tr\u00e1fico entre m\u00faltiples puntos finales. .<\/p>\n

“Esto indica que no se trata de ataques oportunistas, y que UNC5221 ten\u00eda la intenci\u00f3n de mantener su presencia en un subconjunto de objetivos de alta prioridad que comprometi\u00f3 despu\u00e9s de que inevitablemente se lanzara un parche”, a\u00f1adi\u00f3 Mandiant.<\/p>\n

UNC5221 no se ha vinculado a ning\u00fan grupo conocido anteriormente o a un pa\u00eds en particular, aunque el ataque a la infraestructura perimetral mediante el uso de fallas de d\u00eda cero como arma y el uso de una infraestructura comprometida de comando y control (C2) para eludir la detecci\u00f3n tiene todas las caracter\u00edsticas de un amenaza persistente avanzada (APT). <\/p>\n

“La actividad de UNC5221 demuestra que explotar y vivir en el borde de las redes sigue siendo un objetivo viable y atractivo para los actores de espionaje”, dijo Mandiant.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n