{"id":1206971,"date":"2024-02-28T06:57:28","date_gmt":"2024-02-28T06:57:28","guid":{"rendered":"https:\/\/teknomers.com\/es\/las-agencias-de-ciberseguridad-advierten-a-los-usuarios-de-ubiquiti-edgerouter-sobre-la-amenaza-moobot-de-apt28\/"},"modified":"2024-02-28T06:57:33","modified_gmt":"2024-02-28T06:57:33","slug":"las-agencias-de-ciberseguridad-advierten-a-los-usuarios-de-ubiquiti-edgerouter-sobre-la-amenaza-moobot-de-apt28","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/las-agencias-de-ciberseguridad-advierten-a-los-usuarios-de-ubiquiti-edgerouter-sobre-la-amenaza-moobot-de-apt28\/","title":{"rendered":"Las agencias de ciberseguridad advierten a los usuarios de Ubiquiti EdgeRouter sobre la amenaza MooBot de APT28"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>28 de febrero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Seguridad\/vulnerabilidad del firmware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

En un nuevo aviso conjunto, las agencias de inteligencia y ciberseguridad de EE. UU. y otros pa\u00edses instan a los usuarios de Ubiquiti EdgeRouter a tomar medidas de protecci\u00f3n, semanas despu\u00e9s de que las fuerzas del orden derribaran una botnet que inclu\u00eda enrutadores infectados como parte de una operaci\u00f3n con el nombre en c\u00f3digo Dying Ember.<\/p>\n

Se dice que la botnet, llamada MooBot, fue utilizada por un actor de amenazas vinculado a Rusia conocido como APT28 para facilitar operaciones cibern\u00e9ticas encubiertas y lanzar malware personalizado para su posterior explotaci\u00f3n. Se sabe que APT28, afiliado a la Direcci\u00f3n Principal del Estado Mayor de Rusia (GRU), est\u00e1 activo desde al menos 2007.<\/p>\n

Los actores de APT28 han “utilizado EdgeRouters comprometidos a nivel mundial para recopilar credenciales, recopilar res\u00famenes NTLMv2, tr\u00e1fico de red proxy y alojar p\u00e1ginas de inicio de phishing y herramientas personalizadas”, dijeron las autoridades. dicho<\/a> [PDF].<\/p>\n

El uso de EdgeRouters por parte del adversario se remonta a 2022, y los ataques tuvieron como objetivo los sectores aeroespacial y de defensa, educaci\u00f3n, energ\u00eda y servicios p\u00fablicos, gobiernos, hoteler\u00eda, manufactura, petr\u00f3leo y gas, comercio minorista, tecnolog\u00eda y transporte en la Rep\u00fablica Checa, Italia, Lituania. Jordania, Montenegro, Polonia, Eslovaquia, Turqu\u00eda, Ucrania, Emiratos \u00c1rabes Unidos y Estados Unidos<\/p>\n

\"La<\/a><\/center><\/div>\n

Los ataques MooBot implican apuntar a enrutadores con credenciales predeterminadas o d\u00e9biles para implementar troyanos OpenSSH, y APT28 adquiere este acceso para entregar scripts bash y otros binarios ELF para recopilar credenciales, tr\u00e1fico de red proxy, alojar p\u00e1ginas de phishing y otras herramientas.<\/p>\n

Esto incluye secuencias de comandos Python para cargar credenciales de cuentas que pertenecen a usuarios de correo web espec\u00edficos, que se recopilan mediante secuencias de comandos entre sitios y campa\u00f1as de phishing de navegador en el navegador (BitB).<\/p>\n

APT28 tambi\u00e9n se ha relacionado con la explotaci\u00f3n de CVE-2023-23397 (puntuaci\u00f3n CVSS: 9,8), una falla cr\u00edtica de escalada de privilegios ahora parcheada en Microsoft Outlook que podr\u00eda permitir el robo de hashes de NT LAN Manager (NTLM) y montar un ataque de retransmisi\u00f3n. sin requerir ninguna interacci\u00f3n del usuario.<\/p>\n

Otra herramienta en su arsenal de malware es MASEPIE, una puerta trasera de Python capaz de ejecutar comandos arbitrarios en las m\u00e1quinas v\u00edctimas utilizando Ubiquiti EdgeRouters comprometidos como infraestructura de comando y control (C2).<\/p>\n

“Con acceso ra\u00edz a Ubiquiti EdgeRouters comprometidos, los actores de APT28 tienen acceso ilimitado a sistemas operativos basados \u200b\u200ben Linux para instalar herramientas y ofuscar su identidad mientras realizan campa\u00f1as maliciosas”, se\u00f1alaron las agencias.<\/p>\n

\"La<\/a><\/center><\/div>\n

Se recomienda a las organizaciones realizar un restablecimiento de f\u00e1brica del hardware de los enrutadores para eliminar los sistemas de archivos de archivos maliciosos, actualizar a la \u00faltima versi\u00f3n del firmware, cambiar las credenciales predeterminadas e implementar reglas de firewall para evitar la exposici\u00f3n de los servicios de administraci\u00f3n remota.<\/p>\n

Las revelaciones son una se\u00f1al de que los piratas inform\u00e1ticos de los estados-naci\u00f3n utilizan cada vez m\u00e1s enrutadores como plataforma de lanzamiento para ataques, us\u00e1ndolos para crear botnets como VPNFilter, Cyclops Blink y KV-botnet y llevar a cabo sus actividades maliciosas.<\/p>\n

El bolet\u00edn llega un d\u00eda despu\u00e9s de que las naciones de los Cinco Ojos denunciaran a APT29, el grupo de amenazas afiliado al Servicio de Inteligencia Exterior (SVR) de Rusia y la entidad detr\u00e1s de los ataques a SolarWinds, Microsoft y HPE, por emplear cuentas de servicio y cuentas inactivas para acceder a la nube. entornos en las organizaciones objetivo.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n