Hacktivistas aprovecha vulnerabilidad de WinRAR para cifrar Windows y Linux

Iniciado por AXCESS, Septiembre 05, 2024, 11:57:47 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Septiembre 05, 2024, 11:57:47 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El grupo hacktivista Head Mare ha aprovechado una vulnerabilidad en WinRAR para infiltrarse y cifrar sistemas que funcionan con Windows y Linux.

Este grupo, activo desde el inicio del conflicto ruso-ucraniano, ha atacado principalmente a organizaciones de Rusia y Bielorrusia. Sus ataques se caracterizan por técnicas sofisticadas que se centran en causar la máxima perturbación.

La vulnerabilidad: CVE-2023-38831

Según el informe de Secure List, la vulnerabilidad explotada por Head Mare, identificada como CVE-2023-38831, reside en WinRAR, una popular utilidad de compresión de archivos.

Esta falla permite a los atacantes ejecutar código arbitrario en el sistema de la víctima a través de archivos comprimidos especialmente diseñados. Al explotar esta vulnerabilidad, Head Mare puede distribuir y ocultar sus cargas maliciosas de manera más eficaz.

Cómo funciona el exploit

Cuando un usuario intenta abrir un documento aparentemente legítimo dentro de un archivo comprometido, se ejecuta el código malicioso, lo que permite a los atacantes acceder al sistema.

Veredictos con los que nuestros productos detectan muestras de PhantomDL: el malware se reconoce, entre otras cosas, como un exploit para CVE-2023-38831
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Este método de ataque es peligroso porque depende de la interacción del usuario, lo que dificulta su detección mediante medidas de seguridad tradicionales.

Tácticas y herramientas de Head Mare

A diferencia de muchos grupos hacktivistas, Head Mare emplea una combinación de software disponible públicamente y malware personalizado.

Su kit de herramientas incluye:

- LockBit y Babuk Ransomware: se utilizan para cifrar archivos y exigir rescates.

- PhantomDL y PhantomCore: malware personalizado utilizado para el acceso inicial y la explotación.

- Sliver: un marco de comando y control (C2) de código abierto para administrar sistemas comprometidos.

Acceso inicial y persistencia

Head Mare obtiene acceso inicial a través de campañas de phishing, distribuyendo archivos maliciosos que explotan la vulnerabilidad de WinRAR. Una vez dentro, utilizan varios métodos para mantener la persistencia, como agregar entradas al registro de Windows y crear tareas programadas.

Los ataques de Head Mare han afectado a varias industrias, incluidas instituciones gubernamentales, transporte, energía, fabricación y entretenimiento. Su objetivo principal parece ser interrumpir los sistemas y exigir rescates en lugar de solo obtener ganancias económicas.

El grupo mantiene una presencia pública en las redes sociales, donde ocasionalmente publica información sobre sus víctimas.

A diferencia de algunos grupos hacktivistas, Head Mare también exige rescates para descifrar datos, lo que agrega una dimensión financiera a sus ataques con motivaciones políticas.

Análisis de la infraestructura de ataque

La sofisticada infraestructura de Head Mare utiliza servidores VPS/VDS como centros de control y seguridad. Utilizan herramientas como ngrok y rsockstun para pivotar, lo que les permite navegar por redes privadas utilizando máquinas comprometidas como intermediarios.

Los servidores C2 del grupo alojan varias utilidades utilizadas en diferentes etapas de sus ataques. Estas incluyen shells PHP para ejecutar comandos y scripts de PowerShell para la escalada de privilegios.

Comunicación PhantomDL con C2
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Head Mare emplea varias técnicas para evadir la detección, como disfrazar su malware como software legítimo.

Por ejemplo, cambia el nombre de las muestras de ransomware para imitar aplicaciones como OneDrive y VLC y las coloca en directorios típicos del sistema.

Ofuscación y disfraz

Las muestras de malware suelen estar ofuscadas mediante herramientas como Garble, lo que las hace más difíciles de detectar y analizar. Además, el grupo utiliza extensiones dobles en las campañas de phishing, lo que hace que los archivos maliciosos parezcan documentos inofensivos.

Análisis de la infraestructura C2 de Head Mare
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las actividades de Head Mare ponen de relieve la naturaleza cambiante de las amenazas cibernéticas en el contexto de los conflictos geopolíticos.

Al explotar vulnerabilidades como CVE-2023-38831, demuestran una comprensión sofisticada de los aspectos técnicos y psicológicos de la guerra cibernética.

Las organizaciones de Rusia y Bielorrusia deberían priorizar la aplicación de parches a vulnerabilidades como CVE-2023-38831 y mejorar sus capacidades de detección de phishing.

Las auditorías de seguridad periódicas y la capacitación de los empleados para reconocer los intentos de phishing también pueden ayudar a mitigar el riesgo de tales ataques.

A medida que los grupos hacktivistas continúan perfeccionando sus tácticas, no se puede exagerar la importancia de contar con medidas sólidas de ciberseguridad.

El caso de Head Mare nos recuerda la compleja interacción entre la tecnología y la política internacional, donde las herramientas digitales se convierten en armas en conflictos más amplios.

Fuente:
Cyber Security News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario