Se ha observado que el actor de ciberespionaje del nexo con China vinculado a la explotaci\u00f3n de d\u00eda cero de fallas de seguridad en dispositivos Fortinet, Ivanti y VMware utiliza m\u00faltiples mecanismos de persistencia para mantener el acceso sin restricciones a entornos comprometidos.<\/p>\n
“Los mecanismos de persistencia abarcaron dispositivos de red, hipervisores y m\u00e1quinas virtuales, lo que garantiza que los canales alternativos permanezcan disponibles incluso si se detecta y elimina la capa primaria”, investigadores de Mandiant. dicho<\/a> en un nuevo informe.<\/p>\n El actor de amenaza en cuesti\u00f3n es UNC3886<\/strong>que la empresa de inteligencia sobre amenazas propiedad de Google calific\u00f3 de “sofisticado, cauteloso y evasivo”.<\/p>\n Los ataques orquestados por el adversario han aprovechado fallas de d\u00eda cero como CVE-2022-41328<\/a> (Fortinet FortiOS), CVE-2022-22948<\/a> (VMware vCenter), y CVE-2023-20867<\/a> (VMware Tools) para realizar diversas acciones maliciosas, que van desde implementar puertas traseras hasta obtener credenciales para un acceso m\u00e1s profundo.<\/p>\n Tambi\u00e9n se ha observado que explota CVE-2022-42475, otra deficiencia que afecta a Fortinet FortiGate, poco despu\u00e9s de su divulgaci\u00f3n p\u00fablica por parte de la empresa de seguridad de red.<\/p>\n Estas intrusiones han se\u00f1alado principalmente a entidades en Am\u00e9rica del Norte, el Sudeste Asi\u00e1tico y Ocean\u00eda, y se han identificado v\u00edctimas adicionales en Europa, \u00c1frica y otras partes de Asia. Las industrias objetivo abarcan los sectores gubernamental, de telecomunicaciones, de tecnolog\u00eda, aeroespacial y de defensa, y de energ\u00eda y servicios p\u00fablicos.<\/p>\n Una t\u00e1ctica notable en el arsenal de UNC3886 es que desarroll\u00f3 t\u00e9cnicas que evaden el software de seguridad y le permiten introducirse en redes gubernamentales y comerciales y espiar a las v\u00edctimas durante per\u00edodos prolongados sin ser detectado.<\/p>\n Esto implica el uso de rootkits disponibles p\u00fablicamente como Reptile y Medusa<\/a> en m\u00e1quinas virtuales (VM) invitadas, la \u00faltima de las cuales se implementa mediante un componente de instalaci\u00f3n denominado SEAELF.<\/p>\n “A diferencia de REPTILE, que s\u00f3lo proporciona acceso interactivo con funcionalidades de rootkit, MEDUSA exhibe capacidades para registrar las credenciales de usuario a partir de autenticaciones exitosas, ya sea local o remotamente, y ejecuciones de comandos”, se\u00f1al\u00f3 Mandiant. “Estas capacidades son ventajosas para UNC3886 como modus operandi para moverse lateralmente utilizando credenciales v\u00e1lidas”.<\/p>\n Tambi\u00e9n se incluyen en los sistemas dos puertas traseras llamadas MOPSLED y RIFLESPINE que aprovechan servicios confiables como GitHub y Google Drive como canales de comando y control (C2).<\/p>\n MOPSLED, una probable evoluci\u00f3n del malware Crosswalk, es un implante modular basado en shellcode que se comunica a trav\u00e9s de HTTP para recuperar complementos de un servidor GitHub C2, mientras que RIFLESPINE es una herramienta multiplataforma que utiliza Google Drive para transferir archivos y ejecutar comandos. .<\/p>\n Mandiant dijo que tambi\u00e9n detect\u00f3 que UNC3886 implementaba clientes SSH con puerta trasera para recopilar credenciales despu\u00e9s de la explotaci\u00f3n de 2023-20867, adem\u00e1s de aprovechar Medusa para configurar servidores SSH personalizados para el mismo prop\u00f3sito.<\/p>\n “El primer intento del actor de amenazas de ampliar su acceso a los dispositivos de red apuntando al servidor TACACS<\/a> “Fue el uso de LOOKOVER”, se\u00f1al\u00f3. “LOOKOVER es un rastreador escrito en C que procesa paquetes de autenticaci\u00f3n TACACS+, realiza el descifrado y escribe su contenido en una ruta de archivo espec\u00edfica”.<\/p>\n Algunas de las otras familias de malware entregadas durante el curso de ataques dirigidos a instancias de VMware se encuentran a continuaci\u00f3n:<\/p>\n A lo largo de los a\u00f1os, las m\u00e1quinas virtuales se han convertido en objetivos lucrativos para los actores de amenazas debido a su uso generalizado en entornos de nube.<\/p>\n “Una VM comprometida puede proporcionar a los atacantes acceso no solo a los datos dentro de la instancia de VM sino tambi\u00e9n a los permisos asignados a ella”, Unidad 42 de Palo Alto Networks dicho<\/a>. “Dado que las cargas de trabajo inform\u00e1ticas, como las m\u00e1quinas virtuales, son generalmente ef\u00edmeras e inmutables, el riesgo que plantea una identidad comprometida es posiblemente mayor que el de los datos comprometidos dentro de una m\u00e1quina virtual”.<\/p>\n Se recomienda a las organizaciones que sigan las recomendaciones de seguridad dentro de la Fortinet<\/a> y VMware<\/a> avisos para protegerse contra posibles amenazas.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/UNC3886-utiliza-Fortinet-VMware-0-Days-y-tacticas-sigilosas-en-espionaje.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n\n