Explotado un día 0 de 7 años en Microsoft Office

Iniciado por AXCESS, Abril 29, 2024, 06:18:15 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Abril 29, 2024, 06:18:15 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los hackers están desempolvando viejos trucos. Un ataque reciente aprovechó las vulnerabilidades en sistemas que ejecutan el obsoleto Microsoft Office para distribuir el malware Cobalt Strike.

Deep Instinct Threat Lab ha descubierto una operación dirigida contra Ucrania en la que los piratas informáticos utilizan una antigua vulnerabilidad de día cero, CVE-2017-8570, como vector inicial y un cargador personalizado para Cobalt Strike Beacon, una herramienta profesional de prueba de penetración diseñada para Evaluación de la seguridad informática por parte de los equipos rojos. Sin embargo, en este ataque, los piratas informáticos utilizaron una versión descifrada sin ningún usuario legítimo.

Han explotado CVE-2017-8570, una antigua vulnerabilidad de Microsoft Office identificada en 2017, para lanzar Cobalt Strike Beacon, apuntando a los sistemas de Ucrania. Utilizaron un archivo PPSX (presentación de diapositivas de PowerPoint) malicioso disfrazado de un antiguo manual de instrucciones del ejército de EE. UU. para limpiar las palas de los tanques, evitando las medidas de seguridad tradicionales y permitiéndoles ocultar la carga útil y complicar el análisis. El archivo utilizaba un prefijo "script:" antes de la URL HTTPS para ocultar la carga útil y complicar el análisis.

     "El señuelo contenía contenido relacionado con el ejército, lo que sugería que estaba dirigido a personal militar. Pero los nombres de dominio weavesilk(.)space y petapixel(.)fun están disfrazados de un oscuro sitio de arte generativo (weavesilk(.)com) y un popular sitio de fotografía (petapixel(.)com). Estos no están relacionados y es un poco desconcertante por qué un atacante los usaría específicamente para engañar al personal militar".

Instinto profundo

El uso del cargador Cobalt Strike, un conjunto de herramientas versátil y malicioso comúnmente empleado en ataques dirigidos, sugiere un enfoque sofisticado por parte de los atacantes. Cobalt Strike permite a los adversarios implementar malware, robar datos y mantener la persistencia en los sistemas comprometidos. En el contexto de Ucrania, se utiliza como mecanismo de entrega de estos exploits de día cero, maximizando su impacto.

La investigación de Deep Instinct indica que los atacantes están aprovechando activamente los exploits de día cero, que son vulnerabilidades desconocidas para los proveedores de software de seguridad. Esto los hace particularmente peligrosos, ya que es posible que las defensas tradicionales no puedan detectarlos ni bloquearlos.

Los investigadores no pudieron atribuir los ataques a ningún actor de amenazas conocido ni descartar la posibilidad de un ejercicio del equipo rojo. La evidencia indica que la muestra se cargó desde Ucrania, la segunda etapa se alojó en un proveedor de VPS ruso y el Cobalt beacon C&C se registró en Varsovia, Polonia.

"Dadas las tendencias de explotación de n-days contra CVE de servidores de correo electrónico y dispositivos perimetrales de 12 meses de antigüedad que hemos visto en los últimos 4 años, ver a un actor de amenazas explotar una vulnerabilidad de Wine de 2017 es extrañamente refrescante", afirmó Casey Ellis. Fundador y director de estrategia de Bugcrowd

"El uso de llamadas WinAPI de bajo nivel no documentadas también es inusual. Puedo entender por qué los analistas de amenazas tienen dificultades con la atribución, es una cadena de muerte esotérica y algo nerd", explicó Casey.

"Aparte de las piezas técnicas, es digno de mención el hecho de que no es Rusia, y los TTP sugieren un jugador previamente desconocido. El uso de Cobalt Strike como C2 es bastante común y la conclusión clave aquí es que las vulnerabilidades antiguas en el software que se olvida fácilmente todavía importan".

¿Cómo mantenerse seguro?

La investigación de Deep Instinct sugiere que las soluciones de seguridad tradicionales pueden no ser suficientes para los exploits de día cero. Las organizaciones deben adoptar la detección avanzada de amenazas mediante análisis de comportamiento y aprendizaje automático. La vigilancia también es crucial, especialmente para las amenazas cibernéticas dirigidas a Ucrania, y una estrategia de defensa proactiva que combine cortafuegos y software antivirus.

Fuente:
HackRead
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario