Microsoft ha confirmado que la explotaci\u00f3n activa de los servidores PaperCut est\u00e1 vinculada a ataques dise\u00f1ados para distribuir las familias de ransomware Cl0p y LockBit.<\/p>\n
El equipo de inteligencia de amenazas del gigante tecnol\u00f3gico atribuye un subconjunto de las intrusiones a un actor motivado financieramente que rastrea bajo el nombre Tempestad de encaje<\/strong> (anteriormente DEV-0950), que se superpone con otros grupos de pirater\u00eda como FIN11, TA505 y Evil Corp.<\/p>\n “En los ataques observados, Lace Tempest ejecut\u00f3 varios comandos de PowerShell para entregar una DLL de TrueBot, que se conect\u00f3 a un servidor C2, intent\u00f3 robar las credenciales de LSASS e inyect\u00f3 la carga \u00fatil de TrueBot en el servicio conhost.exe”, Microsoft dicho<\/a> en una serie de tuits.<\/p>\n La siguiente fase del ataque implic\u00f3 el despliegue del implante Cobalt Strike Beacon para realizar un reconocimiento, moverse lateralmente a trav\u00e9s de la red utilizando WMI y filtrar archivos de inter\u00e9s a trav\u00e9s del servicio de intercambio de archivos MegaSync.<\/p>\n Lace Tempest es un afiliado de ransomware Cl0p que se dice que anteriormente aprovech\u00f3 las vulnerabilidades de Fortra GoAnywhere MFT, as\u00ed como el acceso inicial obtenido a trav\u00e9s de infecciones de Raspberry Robin (atribuido a otro actor denominado DEV-0856).<\/p>\n Se cree que Raspberry Robin, tambi\u00e9n llamado gusano QNAP, es un malware de acceso como servicio que se utiliza como veh\u00edculo de entrega para las cargas \u00fatiles de la siguiente etapa, como IcedID, Cl0p y LockBit. es conocido por incorporar<\/a> ofuscaci\u00f3n, anti-depuraci\u00f3n y medidas contra la m\u00e1quina virtual<\/a> para evadir la detecci\u00f3n.<\/p>\n Microsoft dijo que el actor de amenazas incorpor\u00f3 fallas de PaperCut (2023-27350 y CVE-2023-27351) en su conjunto de herramientas de ataque el 13 de abril, lo que corrobora la evaluaci\u00f3n anterior del proveedor de software de gesti\u00f3n de impresi\u00f3n con sede en Melbourne.<\/p>\n La explotaci\u00f3n exitosa de las dos vulnerabilidades de seguridad podr\u00eda permitir que los atacantes remotos no autenticados logren la ejecuci\u00f3n de c\u00f3digo arbitrario y obtengan acceso no autorizado a informaci\u00f3n confidencial.<\/p>\n Tambi\u00e9n se ha detectado un grupo separado de actividad que utiliza como arma las mismas fallas, incluidas las que conducen a infecciones de ransomware LockBit, agreg\u00f3 Redmond.<\/p>\n El desarrollo se produce cuando el grupo ruso de ciberdelincuencia supervis\u00f3 que FIN7 se vinculara con ataques que explotan instancias de software de copia de seguridad de Veeam sin parches para distribuir POWERTRASH, un cuentagotas b\u00e1sico en memoria basado en PowerShell que ejecuta una carga \u00fatil integrada.<\/p>\n La actividad, detectada por WithSecure el 28 de marzo de 2023, probablemente involucr\u00f3 el abuso de CVE-2023-27532<\/a>, una falla de alta gravedad en Veeam Backup & Replication que permite que un atacante no autenticado obtenga credenciales cifradas almacenadas en la base de datos de configuraci\u00f3n y obtenga acceso a los hosts de la infraestructura. Fue parcheado el mes pasado.<\/p>\n “El actor de amenazas us\u00f3 una serie de comandos, as\u00ed como scripts personalizados para recopilar informaci\u00f3n del host y la red de las m\u00e1quinas comprometidas”, dijo la compa\u00f1\u00eda finlandesa de ciberseguridad. dicho<\/a>. \u201cAdem\u00e1s, se ejecutaron una serie de comandos SQL para robar informaci\u00f3n de la base de datos de respaldo de Veeam\u201d.<\/p>\n En los ataques tambi\u00e9n se utilizaron secuencias de comandos personalizadas de PowerShell para recuperar las credenciales almacenadas de los servidores de respaldo, recopilar informaci\u00f3n del sistema y establecer un punto de apoyo activo en el host comprometido mediante la ejecuci\u00f3n de DICELOADER (tambi\u00e9n conocido como Lizar o Tirion) cada vez que se inicia el dispositivo.<\/p>\n El script de persistencia hasta ahora no documentado ha sido denominado en c\u00f3digo POWERHOLD, con el malware DICELOADER decodificado y ejecutado usando otro cargador \u00fanico denominado DUBLOADER.<\/p>\n Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n Guardar mi asiento!<\/a><\/div>\n “El objetivo de estos ataques no estaba claro al momento de escribir este art\u00edculo, ya que fueron mitigados antes de materializarse por completo”, dijeron los investigadores de seguridad Neeraj Singh y Mohammad Kazem Hassan Nejad, y agregaron que los hallazgos apuntan a la evoluci\u00f3n del comercio y el modus operandi del grupo.<\/p>\n POWERHOLD y DUBLOADER est\u00e1n lejos de ser las \u00fanicas piezas nuevas de malware a\u00f1adidas por FIN7 a su arsenal de ataques. IBM Security X-Force recientemente arroj\u00f3 luz sobre un cargador y puerta trasera llamado Domino que est\u00e1 dise\u00f1ado para facilitar la explotaci\u00f3n de seguimiento.<\/p>\n En un desarrollo relacionado, Zero Day Initiative (ZDI) revel\u00f3 que los autores de la botnet Mirai han actualizado su malware para incluir CVE-2023-1389, una falla de alta gravedad en los enrutadores TP-Link Archer AX21 que podr\u00eda permitir que un adversario no autenticado ejecute c\u00f3digo arbitrario en las instalaciones afectadas.<\/p>\n La cuesti\u00f3n (CVE-2023-1389<\/a>puntaje CVSS: 8.8) se demostr\u00f3 en el concurso de pirater\u00eda Pwn2Own realizado en Toronto en diciembre de 2022 por investigadores del Equipo Viettel, lo que llev\u00f3 al proveedor a emitir correcciones en marzo de 2023.<\/p>\n Los primeros signos de explotaci\u00f3n en estado salvaje, seg\u00fan ZDI, surgieron el 11 de abril de 2023, cuando los actores de amenazas aprovecharon la falla para realizar una solicitud HTTP a los servidores de comando y control (C2) de Mirai para descargar y ejecutar cargas \u00fatiles. responsable de cooptar el dispositivo en la botnet y lanzar ataques DDoS contra servidores de juegos.<\/p>\n “Esto no es nada nuevo para los mantenedores de la botnet Mirai, que son conocidos por explotar r\u00e1pidamente los dispositivos IoT para mantener su punto de apoyo en una empresa”, dijo Peter Girnus, investigador de amenazas de ZDI. dicho<\/a>. “Aplicando este parche<\/a> es la \u00fanica acci\u00f3n recomendada para abordar esta vulnerabilidad”.<\/p>\n <\/p>\nFIN7 aprovecha la falla de Veeam CVE-2023-27532<\/h2>\n
![\"FIN7](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/1682588190_787_Microsoft-confirma-que-los-servidores-PaperCut-se-utilizan-para-entregar.png\" "\\"FIN7")
<\/div>\nMirai Botnet explota el error del enrutador WiFi Archer de TP-Link<\/h2>\n
![\"Exploits](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/1682588191_705_Microsoft-confirma-que-los-servidores-PaperCut-se-utilizan-para-entregar.png\" "\\"Exploits")
<\/div>\n