Advierten a los usuarios de Ubiquiti EdgeRouter de la amenaza MooBot de APT28

En un nuevo aviso conjunto, las agencias de ciberseguridad e inteligencia de Estados Unidos y otros países están instando a los usuarios de Ubiquiti EdgeRouter a tomar medidas de protección, semanas después de que una botnet compuesta por enrutadores infectados fuera derribada por las fuerzas del orden como parte de una operación con el nombre en clave Dying Ember.

Se dice que la botnet, llamada MooBot, ha sido utilizada por un actor de amenazas vinculado a Rusia conocido como APT28 para facilitar las operaciones cibernéticas encubiertas y lanzar malware personalizado para su posterior explotación. Se sabe que APT28, afiliado a la Dirección Principal del Estado Mayor General de Rusia (GRU), está activo desde al menos 2007.

Los actores de APT28 han "utilizado EdgeRouters comprometidos a nivel mundial para recopilar credenciales, recopilar resúmenes de NTLMv2, proxy de tráfico de red y alojar páginas de destino de spear-phishing y herramientas personalizadas", dijeron las autoridades [PDF].

El uso de EdgeRouters por parte del adversario se remonta a 2022, y los ataques se dirigieron a los sectores aeroespacial y de defensa, educación, energía y servicios públicos, gobiernos, hostelería, fabricación, petróleo y gas, comercio minorista, tecnología y transporte en la República Checa, Italia, Lituania, Jordania, Montenegro, Polonia, Eslovaquia, Turquía, Ucrania, Emiratos Árabes Unidos y Estados Unidos.

Los ataques MooBot consisten en apuntar a enrutadores con credenciales predeterminadas o débiles para implementar troyanos OpenSSH, y APT28 adquiere este acceso para entregar scripts bash y otros binarios ELF para recopilar credenciales, tráfico de red proxy, alojar páginas de phishing y otras herramientas.

Esto incluye scripts de Python para cargar credenciales de cuentas pertenecientes a usuarios de correo web específicos, que se recopilan a través de scripts entre sitios y campañas de spear-phishing de navegador en el navegador (BitB).

APT28 también se ha relacionado con la explotación de CVE-2023-23397 (puntuación CVSS: 9,8), una falla de escalada de privilegios críticos ahora parcheada en Microsoft Outlook que podría permitir el robo de hashes de NT LAN Manager (NTLM) y montar un ataque de retransmisión sin requerir ninguna interacción del usuario.

Otra herramienta en su arsenal de malware es MASEPIE, una puerta trasera de Python capaz de ejecutar comandos arbitrarios en las máquinas de las víctimas utilizando Ubiquiti EdgeRouters comprometidos como infraestructura de comando y control (C2).

"Con el acceso root a los Ubiquiti EdgeRouters comprometidos, los actores de APT28 tienen acceso sin restricciones a los sistemas operativos basados en Linux para instalar herramientas y ofuscar su identidad mientras realizan campañas maliciosas", señalaron las agencias.

Se recomienda a las organizaciones que realicen un restablecimiento de fábrica de hardware de los enrutadores para vaciar los sistemas de archivos de archivos maliciosos, actualizar a la última versión de firmware, cambiar las credenciales predeterminadas e implementar reglas de firewall para evitar la exposición de los servicios de administración remota.

Las revelaciones son una señal de que los piratas informáticos de los estados-nación confían cada vez más en los enrutadores como plataforma de lanzamiento para los ataques, usándolos para crear botnets como VPNFilter, Cyclops Blink y KV-botnet y llevar a cabo sus actividades maliciosas.

El boletín llega un día después de que las naciones de los Cinco Ojos denunciaran a APT29, el grupo de amenazas afiliado al Servicio de Inteligencia Exterior de Rusia (SVR) y la entidad detrás de los ataques a SolarWinds, Microsoft y HPE, por emplear cuentas de servicio y cuentas inactivas para acceder a entornos de nube en organizaciones objetivo.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta