Actores maliciosos como Kinsing se est\u00e1n aprovechando de fallas de seguridad antiguas y recientemente reveladas en Oracle WebLogic Server para entregar malware de miner\u00eda de criptomonedas.<\/p>\n
La empresa de ciberseguridad Trend Micro lo dijo fundar<\/a> el grupo con motivaci\u00f3n financiera que aprovecha la vulnerabilidad para descartar secuencias de comandos de Python con capacidades para deshabilitar las caracter\u00edsticas de seguridad del sistema operativo (SO) como Linux con seguridad mejorada (SELinux<\/a>), y otros.<\/p>\n Los operadores detr\u00e1s de la Kinsing malware<\/a> tener un historial de escaneo de servidores vulnerables para cooptarlos en una red de bots, incluida la de redis<\/a>, pila de sal<\/a>Log4Shell, Spring4Shell y la falla de Atlassian Confluence (CVE-2022-26134).<\/p>\n Los actores de Kinsing tambi\u00e9n han estado involucrados en campa\u00f1as contra los entornos de contenedores a trav\u00e9s de Puertos API de Docker Daemon abiertos mal configurados<\/a> para lanzar un criptominero y posteriormente propagar el malware a otros contenedores y hosts.<\/p>\n La \u00faltima ola de ataques implica que el actor se convierta en un arma CVE-2020-14882<\/a> (puntaje CVSS: 9.8), un error de ejecuci\u00f3n remota de c\u00f3digo (RCE) de dos a\u00f1os, contra servidores sin parches para tomar el control del servidor y soltar cargas maliciosas.<\/p>\n Vale la pena se\u00f1alar que la vulnerabilidad ha sido explotada en el pasado por m\u00faltiples botnets para distribuir mineros Monero y la puerta trasera Tsunami en sistemas Linux infectados. <\/p>\n La explotaci\u00f3n exitosa de la falla fue lograda mediante la implementaci\u00f3n de un script de shell que es responsable de una serie de acciones: Eliminar el \/var\/log\/syslog<\/a> registro del sistema, desactivar las funciones de seguridad y los agentes de servicios en la nube de Alibaba y Tencent, y eliminar los procesos mineros de la competencia.<\/p>\n Luego, el script de shell procede a descargar el malware Kinsing desde un servidor remoto, al mismo tiempo que toma medidas para garantizar la persistencia por medio del trabajo cron.<\/p>\n “La explotaci\u00f3n exitosa de esta vulnerabilidad puede conducir a RCE, que puede permitir a los atacantes realizar una gran cantidad de actividades maliciosas en los sistemas afectados”, dijo Trend Micro. “Esto puede ir desde la ejecuci\u00f3n de malware […] hasta el robo de datos cr\u00edticos, e incluso el control total de una m\u00e1quina comprometida”.<\/p>\n El desarrollo se produce cuando los investigadores de Aqua Security identificaron tres nuevos ataques vinculados a otro grupo de cryptojacking “vibrante” llamado TeamTNT, que cerr\u00f3 voluntariamente en noviembre de 2021.<\/p>\n “TeamTNT ha estado buscando un Docker Daemon mal configurado e implementando alpine, una imagen de contenedor est\u00e1ndar, con una l\u00ednea de comando para descargar un script de shell (k.sh) a un servidor C2”, dijo Assaf Morag, investigador de Aqua Security. dijo<\/a>.<\/p>\n Lo notable de la cadena de ataque es que parece estar dise\u00f1ada para romper Cifrado SECP256K1<\/a>, que, de tener \u00e9xito, podr\u00eda darle al actor la capacidad de calcular las claves de cualquier billetera de criptomonedas. Dicho de otra manera, la idea es aprovechar el alto pero ilegal poder computacional de sus objetivos para ejecutar el solucionador ECDLP y obtener la clave.<\/p>\n Otros dos ataques montados por el grupo implican la explotaci\u00f3n de servidores Redis expuestos<\/a> y API de Docker mal configuradas para implementar mineros de monedas y binarios de Tsunami.<\/p>\n El objetivo de TeamTNT de las API REST de Docker ha sido bien documentado durante el a\u00f1o pasado. pero en un error de seguridad operacional<\/a> detectado por Trend Micro, se han descubierto las credenciales asociadas con dos de las cuentas de DockerHub controladas por el atacante.<\/p>\n Se dice que las cuentas, alpineos y sandeep078, se usaron para distribuir una variedad de cargas maliciosas como rootkits, kits de explotaci\u00f3n de Kubernetes, ladrones de credenciales, mineros XMRig Monero e incluso el malware Kinsing.<\/p>\n “La cuenta alpineos se utiliz\u00f3 en intentos de explotaci\u00f3n de nuestros honeypots tres veces, desde mediados de septiembre hasta principios de octubre de 2021, y rastreamos las direcciones IP de las implementaciones hasta su ubicaci\u00f3n en Alemania”, Nitesh Surana de Trend Micro. dijo<\/a>.<\/p>\n “Los actores de amenazas iniciaron sesi\u00f3n en sus cuentas en el registro de DockerHub y probablemente olvidaron cerrar sesi\u00f3n”. Alternativamente, “los actores de amenazas iniciaron sesi\u00f3n en su cuenta de DockerHub con las credenciales de alpineos”.<\/p>\n Trend Micro dijo que la imagen maliciosa de alpineos se hab\u00eda descargado m\u00e1s de 150.000 veces y agreg\u00f3 que notific\u00f3 a Docker sobre estas cuentas. <\/p>\n Tambi\u00e9n recomienda a las organizaciones configurar la API REST expuesta con TLS para mitigar los ataques de adversarios en el medio (AiTM), as\u00ed como usar almacenes de credenciales y ayudantes<\/a> para alojar las credenciales de usuario.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1663330390_564_Los-piratas-informaticos-apuntan-a-los-servidores-WebLogic-y-las.jpg\")
<\/div>\nLos actores de TeamTNT regresan con Kangaroo Attack<\/strong><\/h2>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1663330390_643_Los-piratas-informaticos-apuntan-a-los-servidores-WebLogic-y-las.jpg\")
<\/div>\n