Una gran empresa de desarrollo de software cuyo software es utilizado por diferentes entidades estatales en Ucrania estaba en el extremo receptor de una pieza de malware “poco com\u00fan”, seg\u00fan ha descubierto una nueva investigaci\u00f3n.<\/p>\n
El malware, observado por primera vez en la ma\u00f1ana del 19 de mayo de 2022, es una variante personalizada de la puerta trasera de c\u00f3digo abierto conocida como GoMet<\/a> y est\u00e1 dise\u00f1ado para mantener un acceso persistente a la red.<\/p>\n “Este acceso podr\u00eda aprovecharse de varias maneras, incluido un acceso m\u00e1s profundo o para lanzar ataques adicionales, incluido el potencial de compromiso de la cadena de suministro de software”, Cisco Talos. dijo<\/a> en un informe compartido con The Hacker News.<\/p>\n Aunque no hay indicadores concretos que vinculen el ataque a un solo actor o grupo, la evaluaci\u00f3n de la firma de ciberseguridad apunta a la actividad del estado-naci\u00f3n ruso.<\/p>\n Hasta ahora, los informes p\u00fablicos sobre el uso de GoMet en ataques del mundo real han descubierto solo dos casos documentados: uno en 2020, coincidiendo con la divulgaci\u00f3n de CVE-2020-5902, una falla cr\u00edtica de ejecuci\u00f3n remota de c\u00f3digo en la red BIG-IP de F5. dispositivos.<\/p>\n La segunda instancia implic\u00f3 la explotaci\u00f3n exitosa de CVE-2022-1040, una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo en Sophos Firewall, por parte de un grupo an\u00f3nimo de amenazas persistentes avanzadas (APT) a principios de este a\u00f1o.<\/p>\n “No hemos visto GoMet implementado en otras organizaciones con las que hemos estado trabajando de cerca y monitoreando, lo que implica que est\u00e1 dirigido de alguna manera, pero podr\u00eda usarse contra objetivos adicionales de los que no tenemos visibilidad”, Nick Biasini, jefe de alcance de Cisco Talos, dijo a The Hacker News.<\/p>\n “Tambi\u00e9n hemos realizado un an\u00e1lisis hist\u00f3rico relativamente riguroso y vemos muy poco uso de GoMet hist\u00f3ricamente, lo que indica adem\u00e1s que se est\u00e1 utilizando de manera muy espec\u00edfica”.<\/p>\n GoMet, como su nombre lo indica, est\u00e1 escrito en Go y viene con funciones que permiten al atacante controlar de forma remota el sistema comprometido, incluida la carga y descarga de archivos, la ejecuci\u00f3n de comandos arbitrarios y el uso del punto de apoyo inicial para propagarse a otras redes y sistemas a trav\u00e9s de lo que est\u00e1 llamado a cadena de margaritas<\/a>.<\/p>\n Otra caracter\u00edstica notable del implante es su capacidad para ejecutar trabajos programados utilizando cron<\/a>. Si bien el c\u00f3digo original est\u00e1 configurado para ejecutar trabajos cron una vez cada hora, la versi\u00f3n modificada de la puerta trasera utilizada en el ataque est\u00e1 dise\u00f1ada para ejecutarse cada dos segundos y determinar si el malware est\u00e1 conectado a un servidor de comando y control.<\/p>\n “La mayor\u00eda de los ataques que hemos visto \u00faltimamente est\u00e1n relacionados con el acceso, ya sea directamente o mediante la adquisici\u00f3n de credenciales”, dijo Biasini. “Este es otro ejemplo de eso con GoMet implementado como una puerta trasera”.<\/p>\n “Una vez que se ha establecido el acceso, pueden seguir un reconocimiento adicional y operaciones m\u00e1s exhaustivas. Estamos trabajando para eliminar los ataques antes de que lleguen a esta etapa, por lo que es dif\u00edcil predecir los tipos de ataques posteriores”.<\/p>\n Los hallazgos llegan como el Comando Cibern\u00e9tico de EE. UU. el mi\u00e9rcoles. compartido<\/a> los indicadores de compromiso (IoC) pertenecientes a diferentes tipos de malware como GrimPlant, GraphSteel, Cobalt Strike Beacon y MicroBackdoor dirigidos a redes ucranianas en los \u00faltimos meses.<\/p>\n Desde entonces, la empresa de ciberseguridad Mandiant ha atribuido<\/a> los ataques de phishing a dos actores de espionaje rastreados como UNC1151 (tambi\u00e9n conocido como Ghostwriter) y UNC2589, el \u00faltimo de los cuales se sospecha que “act\u00faa en apoyo de los intereses del gobierno ruso y ha estado realizando una amplia recopilaci\u00f3n de espionaje en Ucrania”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgvfqow2z1XORevUpzKGWWXZ2DP4dMaNi-7cycpa3J_bSZKv0tO6MP40HLl7lvVJDIswOmb6I-YoNMLJym4v9oLZQczujsMqcttB3M_Cvm6E-zLs0XrpwaTZ_SGFjckDfi3CPfijZaii8Z88_btcKeHKKfxm7cDyF3kaVvsirGpb2JWVH0Ot3xGiC2sZg\/s1600\/strike-728.png\")
<\/a><\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656664565_47_Amazon-parchea-silenciosamente-la-vulnerabilidad-de-gravedad-alta-en-la.jpg\")
<\/a><\/div>\n