Un sofisticado actor chino de amenazas persistentes avanzadas (APT) explot\u00f3 una vulnerabilidad de seguridad cr\u00edtica en el producto de firewall de Sophos que sali\u00f3 a la luz a principios de este a\u00f1o para infiltrarse en un objetivo no identificado del sur de Asia como parte de un ataque altamente dirigido.<\/p>\n
“El atacante implementa[ed] una interesante puerta trasera web shell, cree[d] una forma secundaria de persistencia y, en \u00faltima instancia, lanzar[ed] ataques contra el personal del cliente”, Volexity dijo<\/a> en un informe “Estos ataques ten\u00edan como objetivo violar a\u00fan m\u00e1s los servidores web alojados en la nube que alojan los sitios web p\u00fablicos de la organizaci\u00f3n”.<\/p>\n La falla de d\u00eda cero en cuesti\u00f3n se rastrea como CVE-2022-1040 (puntuaci\u00f3n CVSS: 9.8) y se refiere a una vulnerabilidad de omisi\u00f3n de autenticaci\u00f3n que puede armarse para ejecutar c\u00f3digo arbitrario de forma remota. Afecta a las versiones de Sophos Firewall 18.5 MR3 (18.5.3) y anteriores.<\/p>\n La empresa de ciberseguridad, que emiti\u00f3 un parche para la falla el 25 de marzo de 2022, se\u00f1al\u00f3 que se abus\u00f3 de ella para “apuntar a un peque\u00f1o conjunto de organizaciones espec\u00edficas principalmente en la regi\u00f3n del sur de Asia” y que hab\u00eda notificado directamente a las entidades afectadas.<\/p>\n Ahora, seg\u00fan Volexity, las primeras pruebas de explotaci\u00f3n de la falla comenzaron el 5 de marzo de 2022, cuando detect\u00f3 una actividad de red an\u00f3mala que se originaba en el Sophos Firewall de un cliente an\u00f3nimo que ejecutaba la versi\u00f3n actualizada, casi tres semanas antes de la divulgaci\u00f3n p\u00fablica de la falla. vulnerabilidad.<\/p>\n “El atacante estaba usando el acceso al firewall para realizar ataques de intermediario (MitM)”, dijeron los investigadores. “El atacante us\u00f3 los datos recopilados de estos ataques MitM para comprometer sistemas adicionales fuera de la red donde resid\u00eda el firewall”.<\/p>\n La secuencia de infecci\u00f3n posterior a la violaci\u00f3n del cortafuegos implic\u00f3 adem\u00e1s la puerta trasera de un componente leg\u00edtimo del software de seguridad con el Detr\u00e1s<\/a> shell web al que se puede acceder de forma remota desde cualquier URL que elija el actor de amenazas.<\/p>\n Es digno de menci\u00f3n que el shell web Behinder tambi\u00e9n fue aprovechado a principios de este mes por grupos APT chinos en un conjunto separado de intrusiones que explotan una falla de d\u00eda cero en los sistemas Atlassian Confluence Server (CVE-2022-26134).<\/p>\n Adem\u00e1s, se dice que el atacante cre\u00f3 cuentas de usuario de VPN para facilitar el acceso remoto, antes de pasar a modificar las respuestas de DNS para sitios web especialmente dirigidos, principalmente el sistema de gesti\u00f3n de contenido (CMS) de la v\u00edctima, con el objetivo de interceptar las credenciales de usuario y las cookies de sesi\u00f3n.<\/p>\n Posteriormente, el acceso a las cookies de sesi\u00f3n equip\u00f3 a la parte malintencionada para tomar el control del sitio de WordPress e instalar un segundo shell web denominado HieloEscorpi\u00f3n<\/a>con el atacante us\u00e1ndolo para implementar tres implantes de c\u00f3digo abierto en el servidor web, incluido cachorrito<\/a>, Pantegana<\/a>y Astilla<\/a>.<\/p>\n “DriftingCloud es un actor de amenazas efectivo, bien equipado y persistente que apunta cinco venenos<\/a>-objetivos relacionados. Pueden desarrollar o comprar exploits de d\u00eda cero para lograr sus objetivos, lo que inclina la balanza a su favor cuando se trata de ingresar a las redes de destino”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/Fronton-botnet-ruso-de-IoT-disenado-para-ejecutar-campanas-de.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1655459335_870_Los-piratas-informaticos-chinos-aprovecharon-la-falla-de-dia-cero.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n