Debian 11.7 "Bullseye" ha sido publicada como la nueva actualización de mantenimiento de la actual rama estable de la distribución. Como es tradición, no hay novedades que puedan ser etiquetadas como "potentes", pero sí hay una gran cantidad de correcciones para fallos de seguridad y de software, las cuales también pueden obtenerse mediante una actualización estándar desde el lanzamiento anterior.

Entre los componentes que han recibido actualizaciones de seguridad hay muchos de los más conocidos en el mundo de Linux, como systemd, glibc, Flatpak, Firefox, ClamAV y LibreOffice. Sin embargo, los más corregidos en términos de seguridad parecen haber sido exiv2, una biblioteca y una utilidad por línea de comandos hecha con C++ para manejar los metadatos de las imágenes, y diversas versiones del driver oficial de NVIDIA que son suministradas a través del repositorio non-free de Debian.

Otros detalles que merece la pena destacar son la incorporación de la detección de OpenJDK 17 como entorno de JDK en Tomcat 9 y la inclusión de soporte para VirtualBox 7 en Vagrant. Por lo demás, no hay mucho más que destaque, cosa normal si se tiene en cuenta que el objetivo de la rama estable de Debian es proporcionar un software estable y pulido y no tanto nuevas características. Aun así, no viene mal retocar ciertas cosas para mantener al sistema competitivo en áreas como los servidores.

Dejando aparte los parches y la puesta de al día de algunos componentes específicos, a grandes rasgos no hay cambios radicales frente a la publicación original de Debian 11 Bullseye en agosto de 2021, que en su momento destacó por los avances introducidos en frentes como systemd, Wayland y CUPS. Aquí merece la pena mencionar la calidad del propio sistema operativo, que desde el primer día su publicación oficial como estable ha demostrado muchas maneras e incluso destacadas capacidades para resucitar bastantes equipos antiguos, cosa que deriva en buena medida de lo bien que lo hace el proyecto a la hora de implementar los escritorios.

El instalador de Debian 12 "Bookworm" ya se encuentra en fase de segunda candidata de lanzamiento, por lo que su lanzamiento como estable, salvo que surja algún contratiempo, se espera que se produzca en junio o durante el transcurso del tercer trimestre de 2023. Sin embargo, eso no quiere decir que Bullseye vaya a acabar abandonado de forma inmediata, sino que su recorrido es otro motivo adicional para hacer uso de él, más viendo que todavía le quedan otros tres años de soporte.



Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

ClamAV 1.1 ha sido publicada como la nueva versión del antivirus software libre (GPLv2) y multiplataforma. Recordamos que la primer versión redonda del software fue publicada en noviembre de 2022, cosa que sorprendió en su momento si tenemos en cuenta que se trata de un proyecto con más de veinte años de existencia.

Los cambios mayores introducidos en ClamAV 1.1 son la posibilidad de extraer imágenes incrustadas dentro de bloques <style>, una herramienta de Sigtool actualizada con la opción --vba para extraer código de Visual Basic for Applications (VBA) de Microsoft Office, la nueva opción --fail-if-cvd-older-than=days introducida en ClamScan y ClamD, además de haberse introducido FailIfCvdOlderThan como sinónimo de clamd.conf para --fail-if-cvd-older-than.

En la API de libcalmav se han introducido dos nuevas funciones, cl_cvdgetage() y cl_engine_set_clcb_vba(). La primera recupera la edad del archivo más joven de un directorio de la base de datos o la antigüedad de un único fichero CVD (base de datos de virus de ClamAV) o CLD (el archivo de la base de datos de firmas de ClamAV sin comprimir), mientras que la segunda establece una devolución de llamada cb_vba introducida para apoyar a Sigtool y que se ejecutará cada vez que se extraiga código VBA de los documentos de Microsoft Office. Los datos serán normalizados como una copia del código VBA extraído.

Otras mejoras introducidas son la eliminación de la biblioteca TomsFastMath en favor del uso de OpenSSL para la realización de operaciones matemáticas con grandes números o multiprecisión, el establecimiento de atributos de Git para evitar que el software de control de versiones altere los finales de línea para Rust en las bibliotecas de vendedores, mejoras para la salida del registro del proceso ClamOnAcc para hacer más fácil el diagnóstico de errores, una actualización más fácil del instalador MSI en Windows cuando ClamAV ha sido instalado en una ubicación diferente a la predeterminada y una optimización menor cuando se hace coincidir las firmas de expresiones regulares de nombres de dominio para firmas de tipo PDB, WDB y CDB.

Para el sistema de compilación están la adición de la opción DO_NOT_SET_RPATH de CMake para evitar el establecimiento de RPATH en sistemas Unix; la habilitación de los scripts de versión con CMake con el fin de limitar las exportaciones de símbolos para las bibliotecas compartidas libclamav, libfreshclam, libclamunrar_iface en los sistemas Unix, con la excepción de macOS; la posibilidad de pasar flags personalizadas del compilador de Rust usando la variable RUSTFLAGS de Cmake; la capacidad de seleccionar una versión específica de Python con la opción -D PYTHON_FIND_VER= de CMake; además de otras mejoras menores.

Las novedades y las mejores han llegado junto a las típicas correcciones, que en esta ocasión abarcan aspectos relacionados con Windows, JavaScript, el desbordamiento de un montículo (heap) cuando se leen firmas PDB, un posible uso después de liberar al leer firmas lógicas y un posible desbordamiento de pila cuando al analizar firmas WDB, entre otras cosas.

Todos los detalles sobre ClamAV 1.1 están publicados en el anuncio oficial, mientras que el antivirus puede ser obtenido para Linux (Deb y RPM), macOS y Windows a partir de la sección de descargas del sitio web oficial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cisco ha advertido de una falla de seguridad crítica en los adaptadores de teléfono SPA112 de 2 puertos que, según dijo, podría ser explotada por un atacante remoto para ejecutar código arbitrario en los dispositivos afectados.

El problema, rastreado como CVE-2023-20126, tiene una calificación de 9.8 de un máximo de 10 en el sistema de puntuación CVSS. La compañía acreditó a Catalpa de DBappSecurity por informar de la deficiencia.

El producto en cuestión permite conectar teléfonos analógicos y máquinas de fax a un proveedor de servicios VoIP sin necesidad de una actualización.

"Esta vulnerabilidad se debe a un proceso de autenticación faltante dentro de la función de actualización de firmware", dijo la compañía en un boletín.

"Un atacante podría explotar esta vulnerabilidad actualizando un dispositivo afectado a una versión diseñada de firmware. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario en el dispositivo afectado con privilegios completos".

A pesar de la gravedad de la falla, el fabricante de equipos de red dijo que no tiene la intención de lanzar correcciones debido al hecho de que los dispositivos han alcanzado el estado de fin de vida útil (EoL) a partir del 1 de junio de 2020.

En su lugar, recomienda que los usuarios migren a un adaptador de teléfono analógico Cisco ATA serie 190, que está programado para recibir su última actualización el 31 de marzo de 2024. No hay evidencia de que la falla haya sido explotada maliciosamente en la naturaleza.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El repositorio de paquetes de software PHP Packagist reveló que un "atacante" obtuvo acceso a cuatro cuentas inactivas en la plataforma para secuestrar más de una docena de paquetes con más de 500 millones de instalaciones hasta la fecha.

"El atacante bifurcó cada uno de los paquetes y reemplazó la descripción del paquete en composer.json con su propio mensaje, pero no realizó ningún cambio malicioso", dijo Nils Adermann de Packagist. "Las URL de los paquetes se cambiaron para apuntar a los repositorios bifurcados".

Se dice que las cuatro cuentas de usuario tuvieron acceso a un total de 14 paquetes, incluidos varios paquetes de Doctrine. El incidente tuvo lugar el 1 de mayo de 2023. La lista completa de paquetes afectados es la siguiente:

• acmephp/acmephp
• acmephp/núcleo
• acmephp/ssl
• doctrine/doctrine-cache-bundle
• Módulo doctrina/doctrina
• doctrine/doctrine-mongo-odm-module
• doctrine/doctrine-orm-module
• doctrina/instanciador
• Growthbook/Growthbook
• jdorn/file-system-cache
• jdorn/sql-formateador
• Khanamiryan/QRCODE-detector-decodificador
• object-calisthenics/phpcs-calisthenics-rules
• tga/simhash-php

El investigador de seguridad Ax Sharma, escribiendo para Bleeping Computer, reveló que los cambios fueron realizados por un probador de penetración anónimo con el seudónimo "neskafe3v1" en un intento de conseguir un trabajo.

La cadena de ataque, en pocas palabras, hizo posible modificar la página Packagist para cada uno de estos paquetes a un repositorio de GitHub homónimo, alterando efectivamente el flujo de trabajo de instalación utilizado en los entornos Composer.

La explotación exitosa significaba que los desarrolladores que descargaban los paquetes obtendrían la versión bifurcada en lugar de los contenidos reales.

Packagist dijo que no se distribuyeron cambios maliciosos adicionales, y que todas las cuentas se deshabilitaron y sus paquetes se restauraron el 2 de mayo de 2023. También insta a los usuarios a habilitar la autenticación de dos factores (2FA) para proteger sus cuentas.

"Las cuatro cuentas parecen haber estado usando contraseñas compartidas filtradas en incidentes anteriores en otras plataformas", señaló Adermann. "Por favor, no reutilice las contraseñas".

El desarrollo se produce cuando la firma de seguridad en la nube Aqua identificó miles de registros y repositorios de software en la nube expuestos que contienen más de 250 millones de artefactos y más de 65,000 imágenes de contenedores.

Las configuraciones erróneas se derivan de la conexión errónea de los registros a Internet, permitiendo el acceso anónimo por diseño, utilizando contraseñas predeterminadas y otorgando privilegios de carga a los usuarios que podrían ser abusados para envenenar el registro con código malicioso.

"En algunos de estos casos, el acceso anónimo de usuarios permitió a un atacante potencial obtener información confidencial, como secretos, claves y contraseñas, lo que podría conducir a un ataque severo a la cadena de suministro de software y envenenamiento del ciclo de vida de desarrollo de software (SDLC)", revelaron los investigadores Mor Weinberger y Assaf Morag a fines del mes pasado.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Orqa, un fabricante de gafas de carreras de drones First Person View (FPV), afirma que un contratista introdujo código en el firmware de sus dispositivos que actuó como una bomba de tiempo diseñada para bloquearlos.

El sábado temprano, Orqa comenzó a recibir informes de clientes sorprendidos al ver su FPV. Una de las gafas V1 entra en modo de gestor de arranque y se vuelve inutilizable.

"Comenzamos a recibir los informes de nuestros pilotos en Japón, muy temprano en la mañana mientras todos estábamos todavía dormidos (o de fiesta, ¡era viernes después de todo!). Luego, en las primeras horas de la mañana aquí en Europa, comenzamos a recibir informes de un evento de carrera en Turquía", dijo la compañía.

La compañía reveló horas después de que los dispositivos comenzaron a bloquearse cuando se encendieron, el problema resultó de un error de firmware "causado por la función de fecha / hora".



"Dentro de las 5 o 6 horas de esta crisis, el sábado por la tarde, descubrimos que este misterioso problema era el resultado de una bomba de tiempo de ransomware, que fue plantada en secreto hace unos años en nuestro gestor de arranque por un ex contratista codicioso, con la intención de extraer un rescate exorbitante de la Compañía", dijo Orqa.

"El perpetrador fue particularmente pérfido, porque mantuvo relaciones comerciales ocasionales con nosotros durante estos últimos años, mientras esperaba que la bomba de código 'detonara', presumiblemente para no levantar sospechas y esperar que pueda extraer más rescate a medida que nuestro negocio y nuestra cuota de mercado crecieron".

Orqa dice que el contratista detrás del llamado "ataque de bomba de tiempo ransomware" supuestamente ha publicado un "archivo binario no autorizado" que supuestamente debería abordar el FPV de ladrillo de errores. Una gafa desde el sábado por la mañana.

Sin embargo, la compañía advirtió a los clientes que no instalaran firmware no oficial, y hace cuatro horas, agregó que ahora se está probando una versión oficial que aborda el problema con la ayuda de un pequeño número de probadores beta.

"Dado que el perpetrador ha hecho público lo que hizo y publicó lo que tememos que sea otra pieza comprometida de firmware, decidimos que es de interés para nuestros usuarios estar al tanto de la situación y advertidos sobre los riesgos de instalar un firmware probablemente comprometido en sus dispositivos".

"Además de eso, nuestra revisión de seguridad ha encontrado que solo una fracción del código se vio afectada por este malware, y las correcciones se están haciendo mientras hablamos".


Se espera que el firmware fijo esté disponible hasta el final del día después de que la nueva versión se considere segura para su lanzamiento público.

Un portavoz de Orqa no estuvo disponible de inmediato para hacer comentarios cuando fue contactado por BleepingComputer el día de hoy.

Fuente:H/T Brett Callow
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Facebook descubrió un nuevo malware de robo de información distribuido en Meta llamado 'NodeStealer', que permite a los actores de amenazas robar cookies del navegador para secuestrar cuentas en la plataforma, así como cuentas de Gmail y Outlook.

La captura de cookies que contienen tokens de sesión de usuario válidos es una táctica que está creciendo en popularidad entre los ciberdelincuentes, ya que les permite secuestrar cuentas sin tener que robar credenciales o interactuar con el objetivo, al tiempo que evita las protecciones de autenticación de dos factores.

Como explica el equipo de seguridad de Facebook en una nueva publicación de blog, identificó NodeStealer al principio de su campaña de distribución, solo dos semanas después de su implementación inicial. Desde entonces, la compañía ha interrumpido la operación y ha ayudado a los usuarios afectados a recuperar sus cuentas.

NodeStealer roba tus cuentas

Los ingenieros de Facebook detectaron por primera vez el malware NodeStealer a fines de enero de 2023, atribuyendo los ataques a los actores de amenazas vietnamitas.

El malware se llama NodeStealer, ya que está escrito en JavaScript y ejecutado a través de Node.js.

Node.js hace que el malware sea capaz de ejecutarse en Windows, macOS y Linux, y también es la fuente de su sigilo, ya que casi todos los motores AV en VirusTotal no lo marcan como malicioso en ese momento.


NodeStealer se distribuye como un ejecutable de Windows de 46-51MB disfrazado para aparecer como un documento PDF o Excel con el nombre apropiado para incurrir en curiosidad para el destinatario.

Al iniciarse, utiliza el módulo de inicio automático de Node.js y agrega una nueva clave de registro para establecer la persistencia en la máquina de la víctima entre reinicios.


El objetivo principal del malware es robar cookies y credenciales de cuenta para Facebook, Gmail y Outlook, almacenadas en navegadores web basados en Chromium como Google Chrome, Microsoft Edge, Brave, Opera, etc.


Estos datos normalmente están encriptados en la base de datos SQLite de los navegadores; sin embargo, revertir este cifrado es un proceso trivial implementado por todos los ladrones de información modernos, que simplemente recuperan la clave de descifrado codificada en base64 del archivo "Estado local" de Chromium.


Si NodeStealer encuentra cookies o credenciales relacionadas con cuentas de Facebook, entra en la siguiente fase, "reconocimiento de cuenta", durante la cual abusa de la API de Facebook para extraer información sobre la cuenta violada.

Para evadir la detección por parte de los sistemas antiabuso de Facebook, NodeStealer oculta estas solicitudes detrás de la dirección IP de la víctima y utiliza sus valores de cookies y la configuración del sistema para aparecer como un usuario genuino.

La información clave que busca el malware es la capacidad de la cuenta de Facebook para ejecutar campañas publicitarias, que los actores de amenazas aprovechan para enviar información errónea o llevar audiencias desprevenidas a otros sitios de distribución de malware.

Esta es la misma táctica seguida de cepas de malware similares también cubiertas en el último informe de amenazas de malware de Facebook, como Ducktail.

Después de haber robado toda esa información, NodeStealer exfiltra los datos robados al servidor del atacante.


Tras el descubrimiento, Facebook informó el servidor del actor de amenazas al registrador de dominios, y fue retirado el 25 de enero de 2023.

En el informe de hoy, Facebook también compartió información sobre las continuas operaciones de malware de DuckTail y malware y extensiones maliciosas distribuidas como programas ChatGPT.

Para aquellos interesados en IOC relacionados con NodeStealer, DuckTail y malware que imita ChatGPT, Facebook ha compartido sus datos en el repositorio público GitHub de Facebook.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Casi cinco meses después de que Google agregara soporte para claves de paso a su navegador Chrome, el gigante tecnológico ha comenzado a implementar la solución sin contraseña en todas las cuentas de Google en todas las plataformas.

Las claves de paso, respaldadas por FIDO Alliance, son una forma más segura de iniciar sesión en aplicaciones y sitios web sin tener que usar una contraseña tradicional. Esto, a su vez, se puede lograr simplemente desbloqueando su computadora o dispositivo móvil con sus datos biométricos (por ejemplo, huella digital o reconocimiento facial) o un PIN local.

"Y, a diferencia de las contraseñas, las claves de paso son resistentes a los ataques en línea como el phishing, lo que las hace más seguras que cosas como los códigos de un solo uso de SMS", señaló Google.

Las claves de paso, una vez creadas, se almacenan localmente en el dispositivo y no se comparten con ninguna otra parte. Esto también evita la necesidad de configurar la autenticación de dos factores, ya que demuestra que "tiene acceso a su dispositivo y puede desbloquearlo".

Los usuarios también tienen la opción de crear claves de paso para cada dispositivo que utilizan para iniciar sesión en la cuenta de Google. Dicho esto, una clave de paso creada en un dispositivo se sincronizará con todos los otros dispositivos de los usuarios que ejecuten la misma plataforma de sistema operativo (es decir, Android, iOS / macOS o Windows) y si han iniciado sesión en la misma cuenta. Visto desde esa perspectiva, las claves de paso no son verdaderamente interoperables.

Vale la pena señalar que tanto Google Password Manager como iCloud Keychain utilizan cifrado de extremo a extremo para mantener las claves de acceso privadas, evitando así que los usuarios se bloqueen en caso de que pierdan el acceso a sus dispositivos o facilitando la actualización de un dispositivo a otro.


Además, los usuarios pueden iniciar sesión en un nuevo dispositivo o usar temporalmente un dispositivo diferente seleccionando la opción "usar una clave de paso desde otro dispositivo", que luego usa el bloqueo de pantalla y la proximidad del teléfono para aprobar un inicio de sesión único.

"El dispositivo luego verifica que su teléfono está cerca usando un pequeño mensaje Bluetooth anónimo y configura una conexión cifrada de extremo a extremo al teléfono a través de Internet", explicó la compañía.

"El teléfono utiliza esta conexión para entregar su firma de clave de paso de un solo uso, que requiere su aprobación y el paso biométrico o de bloqueo de pantalla en el teléfono. Ni la clave de paso en sí ni la información de bloqueo de pantalla se envían al nuevo dispositivo".

Si bien este puede ser el "comienzo del fin de la contraseña", la compañía dijo que tiene la intención de continuar apoyando los métodos de inicio de sesión existentes, como las contraseñas y la autenticación de dos factores en el futuro previsible.

Google también recomienda que los usuarios no creen claves de paso en dispositivos que se comparten con otros, una medida que podría socavar efectivamente todas sus protecciones de seguridad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los equipos de TI y ciberseguridad están tan inundados de notificaciones y alertas de seguridad dentro de sus propios sistemas, que es difícil monitorear entornos maliciosos externos, lo que solo los hace mucho más amenazantes.

En marzo, una violación de datos de alto perfil llegó a los titulares nacionales cuando se filtró información de identificación personal relacionada con cientos de legisladores y personal en la web oscura. El incidente de ciberseguridad involucró a DC Health Link, un mercado en línea que administra planes de salud para miembros del Congreso y personal de Capitol Hill. Según informes de prensa, el FBI había comprado con éxito una parte de los datos, que incluían números de seguro social y otra información confidencial, en la web oscura.

Debido a la prominencia de las víctimas, la historia fue recogida por una gran cantidad de medios de comunicación que rara vez cubren los delitos de ciberseguridad relacionados con la web oscura. La historia no solo arrojó luz sobre uno de los aspectos más peligrosos de Internet, sino que nos recordó que la web oscura continúa sirviendo como terreno fértil para los ciberdelincuentes.

La web oscura se está volviendo cada vez más ominosa

Érase una vez, la web oscura estaba llena de malos actores enfocados principalmente en robar información bancaria y financiera. Los ciberdelincuentes estaban allí para comprar, vender y comercializar grandes conjuntos de datos pertenecientes a instituciones financieras. El objetivo: robar nombres, números de seguridad e información de tarjetas de crédito para piratear las cuentas de las personas y hacer frente a los ataques de robo de identidad. Pero a medida que la tecnología ha evolucionado y se ha vuelto más sofisticada, también lo han hecho los malos actores que acechan en la web oscura y los foros clandestinos, así como las herramientas que utilizan.

Lo que es aún más preocupante es la cantidad de hackers inexpertos que se están volviendo cada vez más destructivos con el creciente mercado de malware como servicio (MaaS). Estos actores de amenazas aficionados están construyendo y operando infraestructuras completas de malware, vendiendo acceso a las herramientas de software de cibercrimen sin ponerse en riesgo de cometer delitos cibernéticos.

Los ciberdelincuentes han creado un enorme mercado para el software malicioso, incluido el malware "Info Stealer" que captura información personal de redes y sistemas informáticos vulnerables. Este malware se utiliza para encontrar credenciales comprometidas que se pueden utilizar para planificar ataques grandes y sofisticados dirigidos a todos, desde pequeñas y medianas empresas hasta empresas corporativas y organizaciones gubernamentales con miles de empleados.

Estos ataques provienen de todas las direcciones, desde campañas patrocinadas por el estado utilizadas para derrocar partidos gubernamentales y movimientos sociales hasta asaltos a gran escala contra algunas de las compañías más grandes del mundo. Y los piratas informáticos no solo buscan información de identificación personal, sino que quieren robar propiedad intelectual y datos de propiedad. Sus objetivos se han vuelto mucho más nefastos con consecuencias irreversibles que ponen en riesgo industrias enteras.

Mientras tanto, a medida que el software malicioso como "Info Stealer" gana más tracción entre los ciberdelincuentes, la web oscura todavía está llena de historias, tácticas y consejos para usar herramientas tradicionales de cibercrimen como ransomware, troyanos, spyware, adware y más.

Por qué la web oscura es una amenaza para su organización

Para los equipos de ciberseguridad y TI, uno de los aspectos más amenazantes de la web oscura es que simplemente no sabes lo que no sabes. No importa cuán poderosa pueda ser su tecnología de ciberseguridad, es difícil monitorear cada rincón oscuro de Internet. Además, como empresa, sus controles de seguridad son limitados. Sus proveedores, socios, clientes e incluso empleados podrían comprometer accidentalmente toda su infraestructura antes de que se dé cuenta de que hay un problema.

Por ejemplo, en el mundo actual de entornos de trabajo híbridos y remotos, las herramientas de seguridad de una organización no pueden proteger dispositivos como computadoras portátiles, teléfonos y tabletas utilizados fuera de los límites de seguridad de una empresa. Con tantos sistemas dispares, los empleados están creando sin saberlo puntos ciegos que ofrecen poca o ninguna visibilidad para el equipo encargado de salvaguardar los sistemas informáticos de su organización. En lugar de tener que "hackear" una red, los ciberdelincuentes a menudo pueden caminar directamente al perímetro con credenciales comprometidas compradas en la web oscura.

La desafortunada realidad es que muchas organizaciones simplemente no tienen el personal o los recursos para monitorear la web oscura y los foros subterráneos donde se congregan los piratas informáticos. La tecnología de ciberseguridad es una defensa necesaria, pero los equipos de seguridad necesitan una capa adicional de protección para monitorear entornos amenazantes y detectar credenciales filtradas.

Las organizaciones más grandes con amplios equipos de TI y seguridad a menudo tienen departamentos enteros dedicados a monitorear la web oscura para identificar y rastrear las amenazas de ciberseguridad antes de que se conviertan en incidentes graves. Pero los equipos más pequeños que apenas tienen suficiente mano de obra para administrar las alertas de seguridad entrantes simplemente no tienen el ancho de banda para vigilar los rincones más oscuros de Internet.

Lighthouse Service: Monitoreo de la web oscura para que no tenga que hacerlo

Ningún sector queda intacto cuando se trata de ataques de seguridad cibernética causados por credenciales comprometidas. Algunas de las mayores violaciones de datos del año pasado afectaron a grandes marcas, incluidas Microsoft, Uber y Rockstar Games (la compañía detrás de Grand Theft Auto), todas fueron víctimas de ataques resultantes de credenciales comprometidas. Si una empresa como Microsoft, con numerosos recursos y personal, no puede proteger sus sistemas, ¿qué suerte tiene una organización más pequeña con un equipo de TI delgado que trabaja con un presupuesto limitado?

Cynet tomó esta pregunta en serio y, en respuesta, lanzó su Servicio Lighthouse. El servicio monitorea la web oscura y los foros subterráneos para que sus clientes no tengan que hacerlo. Debido a que las credenciales comprometidas son un componente líder de los ataques cibernéticos, el Servicio Faro de Cynet se centra específicamente en el monitoreo del robo de credenciales. El equipo busca los datos "más recientes" que puede encontrar. A partir de ahí, el equipo puede digerir y navegar fácilmente por grandes conjuntos de datos para detectar información sobre nuestros clientes en áreas que no están protegidas por las plataformas de ciberseguridad.

Al monitorear la web oscura, Cynet obtiene una visión profunda de los comportamientos de los ciberdelincuentes. El servicio Lighthouse identifica los exploits recién lanzados utilizados o buscados por los actores de amenazas. El equipo de Cynet puede rastrear la actividad maliciosa y, a veces, encontrar violaciones de datos que afectan a terceros conectados a sus clientes, lo que permite a Cynet notificar a los clientes de una posible fuga de datos si uno de sus proveedores o socios fue pirateado.

De hecho, Cynet ha podido realizar cientos de divulgaciones de seguridad para empresas no conectadas a Cynet, al tiempo que protege los datos de sus clientes en el proceso. El equipo de Lighthouse publica regularmente sus hallazgos en la serie Lighthouse en el blog de Cynet.

Cómo fortalecer tu postura de ciberseguridad

La actividad que se puede encontrar en la web oscura y las amenazas cada vez mayores que surgen de estos foros es alarmante para los profesionales de la ciberseguridad. Y si está ejecutando un pequeño equipo de TI que carece del personal y las habilidades para mantenerse a la vanguardia de estas amenazas, puede parecer imposible prepararse para el impacto.

Pero hay algo que puede hacer para ayudar a su organización a mantenerse resistente contra lo que sea que la web oscura le arroje.

¿Por dónde empezar? Puede comenzar con el marco NIST CSF. Consulte el libro electrónico de Cynet: "NIST CSF Mapping Made Easy - How to organize your security stack with the Cyber Defense Matrix". Responde a sus preguntas más importantes sobre el marco NIST CSF para administrar los riesgos de ciberseguridad junto con herramientas fáciles de usar que le permiten visualizar su programa de seguridad existente e identificar cualquier brecha o superposición en su pila de tecnología de ciberseguridad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Han surgido detalles sobre una vulnerabilidad de seguridad de alta gravedad que afecta al Protocolo de ubicación de servicio (SLP) que podría convertirse en un arma para lanzar ataques volumétricos de denegación de servicio contra objetivos.

"Los atacantes que explotan esta vulnerabilidad podrían aprovechar las instancias vulnerables para lanzar ataques masivos de amplificación de denegación de servicio (DoS) con un factor de hasta 2.200 veces, lo que podría convertirlo en uno de los ataques de amplificación más grandes jamás reportados", dijeron los investigadores de Bitsight y Curesec Pedro Umbelino y Marco Lux en un informe compartido con The Hacker News.

Se dice que la vulnerabilidad, a la que se le ha asignado el identificador CVE-2023-29552 (puntuación CVSS: 8.6), afecta a más de 2.000 organizaciones globales y más de 54.000 instancias SLP a las que se puede acceder a través de Internet.

Esto incluye VMWare ESXi Hypervisor, impresoras Konica Minolta, enrutadores Planex, IBM Integrated Management Module (IMM), SMC IPMI y otros 665 tipos de productos.

Los 10 países con más organizaciones que tienen instancias SLP vulnerables son Estados Unidos, Reino Unido, Japón, Alemania, Canadá, Francia, Italia, Brasil, Países Bajos y España.

SLP es un protocolo de detección de servicios que permite a los equipos y otros dispositivos encontrar servicios en una red de área local, como impresoras, servidores de archivos y otros recursos de red.


La explotación exitosa de CVE-2023-29552 podría permitir que un atacante aproveche las instancias SLP susceptibles para lanzar un ataque de amplificación de reflexión y abrumar a un servidor de destino con tráfico falso.

Para hacerlo, todo lo que un atacante necesita hacer es encontrar un servidor SLP en el puerto UDP 427 y registrar "servicios hasta que SLP deniegue más entradas", seguido de falsificar repetidamente una solicitud a ese servicio con la IP de la víctima como dirección de origen.

Un ataque de este tipo puede producir un factor de amplificación de hasta 2.200, lo que resulta en ataques DoS a gran escala. Para mitigar la amenaza, se recomienda a los usuarios deshabilitar SLP en sistemas conectados directamente a Internet o, alternativamente, filtrar el tráfico en UDP y el puerto TCP 427.

"Es igualmente importante hacer cumplir una autenticación fuerte y controles de acceso, permitiendo que solo los usuarios autorizados accedan a los recursos de red correctos, con el acceso siendo monitoreado y auditado de cerca", dijeron los investigadores.

La compañía de seguridad web Cloudflare, en un aviso, dijo que "espera que la prevalencia de ataques DDoS basados en SLP aumente significativamente en las próximas semanas" a medida que los actores de amenazas experimenten con el nuevo vector de amplificación DDoS.

"El impacto colateral de los ataques de reflexión/amplificación SLP es potencialmente significativo para las organizaciones cuyos servidores VMWare ESXi expuestos a Internet u otros sistemas habilitados para SLP pueden ser objeto de abuso como reflectores/amplificadores DDoS", advirtió Netscout.

La vulnerabilidad también ha atraído la atención de la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA), que advirtió sobre posibles ataques que abusan de SLP para "realizar ataques DoS de alto factor de amplificación utilizando direcciones de origen falsificadas".
"El Protocolo de Ubicación de Servicio (SLP, RFC 2608) permite a un atacante remoto no autenticado registrar servicios arbitrarios", dijo la agencia. "Esto podría permitir a un atacante utilizar el tráfico UDP falsificado para llevar a cabo un ataque de denegación de servicio (DoS) con un factor de amplificación significativo".

Los hallazgos se producen cuando una falla de dos años de antigüedad ahora parcheada en la implementación SLP de VMware fue explotada por actores asociados con el ransomware ESXiArgs en ataques generalizados a principios de este año.

El proveedor de servicios de virtualización dijo que investigó la falla y determinó que las versiones de ESXi (líneas ESXi 7.x y 8.x) no se ven afectadas, y que solo afecta a las versiones anteriores que han llegado al final del soporte general (EoGS).

"La mejor opción para abordar CVE-2023-29552 es actualizar a una línea de lanzamiento compatible que no se vea afectada por la vulnerabilidad", dijo Edward Hawkins, gerente de respuesta a incidentes de productos de alto perfil de VMware. "En lugar de una actualización a una versión compatible, los administradores de ESXi deben asegurarse de que sus hosts ESXi no estén expuestos a redes que no sean de confianza y también deshabilitar SLP".

(La historia se ha actualizado después de la publicación para incluir información adicional de CISA y VMware).

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se sospecha que un actor de amenazas norcoreano motivado financieramente está detrás de una nueva cepa de malware Apple macOS llamada RustBucket.

"[RustBucket] se comunica con los servidores de comando y control (C2) para descargar y ejecutar varias cargas útiles", dijeron los investigadores de Jamf Threat Labs Ferdous Saljooki y Jaron Bradley en un informe técnico publicado la semana pasada.

La compañía de administración de dispositivos Apple lo atribuyó a un actor de amenazas conocido como BlueNoroff, un subgrupo dentro del infame grupo Lazarus que también se rastrea bajo los apodos APT28, Nickel Gladstone, Sapphire Sleet, Stardust Chollima y TA444.

Las conexiones provienen de superposiciones tácticas y de infraestructura con una campaña anterior expuesta por la compañía rusa de ciberseguridad Kaspersky a fines de diciembre de 2022 probablemente dirigida a entidades financieras japonesas que utilizan dominios falsos que se hacen pasar por empresas de capital de riesgo.

BlueNoroff, a diferencia de otras entidades constituyentes del Grupo Lazarus, es conocido por sus sofisticados robos cibernéticos dirigidos al sistema SWIFT, así como a los intercambios de criptomonedas como parte de un conjunto de intrusiones rastreado como CryptoCore.

A principios de este año, la Oficina Federal de Investigaciones (FBI) de los Estados Unidos implicó al actor de amenazas por el robo de $ 100 millones en activos de criptomonedas de Harmony Horizon Bridge en junio de 2022.

También se dice que el repertorio de ataque de BlueNoroff ha sido testigo de un cambio importante en los últimos meses, con el grupo haciendo uso de señuelos con temas de trabajo para engañar a los destinatarios de correo electrónico para que ingresen sus credenciales en páginas de destino falsas.

El malware macOS identificado por Jamf se hace pasar por una aplicación "Visor interno de PDF" para activar la infección, aunque vale la pena señalar que el éxito del ataque se basa en que la víctima anule manualmente las protecciones de Gatekeeper.

En realidad, es un archivo AppleScript que está diseñado para recuperar una carga útil de segunda etapa de un servidor remoto, que también lleva el mismo nombre que su predecesor. Ambas aplicaciones maliciosas están firmadas con una firma ad-hoc.

La carga útil de la segunda etapa, escrita en Objective-C, es una aplicación básica que ofrece la capacidad de ver archivos PDF y solo inicia la siguiente fase de la cadena de ataque cuando se abre un archivo PDF con trampas explosivas a través de la aplicación.

Uno de esos documentos PDF de nueve páginas identificado por Jamf pretende ofrecer una "estrategia de inversión" que, cuando se lanza, llega al servidor de comando y control (C2) para descargar y ejecutar un troyano de tercera etapa, un ejecutable de Mach-O escrito en Rust que viene con capacidades para ejecutar comandos de reconocimiento del sistema.

"Esta técnica de visor de PDF utilizada por el atacante es inteligente", explicaron los investigadores. "En este punto, para realizar el análisis, no solo necesitamos el malware de la etapa dos, sino que también requerimos el archivo PDF correcto que funcione como clave para ejecutar el código malicioso dentro de la aplicación".

Actualmente no está claro cómo se obtiene el acceso inicial y si los ataques fueron exitosos, pero el desarrollo es una señal de que los actores de amenazas están adaptando sus conjuntos de herramientas para acomodar malware multiplataforma mediante el uso de lenguajes de programación como Go y Rust.

Los hallazgos también provienen de un período ocupado de ataques orquestados por el Grupo Lazarus dirigidos a organizaciones de todos los países y verticales de la industria para recopilar inteligencia estratégica y realizar robos de criptomonedas.

Lazarus Group (también conocido como Hidden Cobra y Diamond Sleet) es menos un equipo distinto y más un término general para una mezcla de grupos de piratería patrocinados por el estado y criminales que se sientan dentro de la Oficina General de Reconocimiento (RGB), el principal aparato de inteligencia extranjera de Corea del Norte.

La actividad reciente emprendida por el actor de amenazas ha ofrecido nuevas pruebas del creciente interés del actor de amenazas en explotar las relaciones de confianza en la cadena de suministro de software como puntos de entrada a las redes corporativas.

La semana pasada, el colectivo adversarial fue vinculado a un ataque en cascada a la cadena de suministro que armó a los instaladores troyanos versiones de una aplicación legítima conocida como X_TRADER para violar el fabricante de software de comunicaciones empresariales 3CX y envenenar sus aplicaciones de Windows y macOS.

Casi al mismo tiempo, ESET detalló el uso de Lazarus Group de un malware de Linux denominado SimplexTea en el contexto de una campaña recurrente de ingeniería social conocida como Operation Dream Job.

"También es interesante observar que Lazarus puede producir y usar malware nativo para todos los principales sistemas operativos de escritorio: Windows, macOS y Linux", señaló el investigador de malware de ESET Marc-Etienne M. Léveillé la semana pasada.

Lazarus está lejos de ser el único grupo de piratería patrocinado por el estado afiliado a RGB conocido por realizar operaciones en nombre del país afectado por las sanciones. Otro actor de amenazas igualmente prolífico es Kimsuky (también conocido como APT43 o Emerald Sleet), un subgrupo del cual es monitoreado por el Grupo de Análisis de Amenazas (TAG) de Google como ARCHIPELAGO.

"El actor se dirige principalmente a organizaciones en los Estados Unidos y Corea del Sur, incluidas las personas que trabajan dentro del gobierno, el ejército, la fabricación, el mundo académico y las organizaciones de grupos de expertos que poseen experiencia en la materia de defensa y seguridad, particularmente seguridad nuclear y política de no proliferación", señaló Mandiant, propiedad de Google, el año pasado.

Otros objetivos menos conocidos de Kimsuky incluyen el gobierno indio y japonés y las instituciones educativas, un conjunto de ataques rastreados por la compañía de ciberseguridad taiwanesa TeamT5 bajo el nombre de KimDragon.

El grupo tiene un historial de despliegue de una serie de armas cibernéticas para filtrar información confidencial a través de una amplia gama de tácticas, como spear-phishing, extensiones de navegador fraudulentas y troyanos de acceso remoto.

Los últimos hallazgos publicados por VirusTotal destacan la gran dependencia de Kimsuky de documentos maliciosos de Microsoft Word para entregar sus cargas útiles. La mayoría de los archivos se han enviado a la plataforma de escaneo de malware desde Corea del Sur, Estados Unidos, Italia, Israel, y el Reino Unido.

"El grupo utiliza una variedad de técnicas y herramientas para llevar a cabo operaciones de espionaje, sabotaje y robo, incluido el spear-phishing y la recolección de credenciales", dijo la subsidiaria de Google Chronicle.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google está eliminando la infraestructura de malware vinculada al ladrón de información Cryptbot después de demandar a quienes lo usan para infectar a los usuarios de Google Chrome y robar sus datos.

La demanda apunta a la infraestructura y la red de distribución de Cryptbot, cuya interrupción ayudaría a disminuir el número de víctimas a las que les roban su información confidencial utilizando el malware.

"Ayer, un juez federal en el Distrito Sur de Nueva York abrió nuestra acción civil contra los distribuidores de malware de Cryptbot, que estimamos infectaron aproximadamente 670,000 computadoras el año pasado y apuntaron a los usuarios de Google Chrome para robar sus datos", dijeron el Jefe de Avance de Litigios Mike Trinh y la Oficina Pierre-Marc del Grupo de Análisis de Amenazas.

"Estamos apuntando a los distribuidores a quienes se les paga para propagar malware ampliamente para que los usuarios lo descarguen e instalen, lo que posteriormente infecta las máquinas y roba los datos de los usuarios".


Para obstaculizar la propagación de CryptBot, el tribunal ha otorgado a Google una orden de restricción temporal que permite a la compañía interrumpir a los distribuidores y su infraestructura.

El tribunal faculta a Google para eliminar los dominios asociados con la distribución CryptBot (activos y que se registrarán después de que se emita la orden), ayudando así a frenar el número de nuevas infecciones y desacelerando el crecimiento de la red de malware.

"Para obstaculizar la propagación de CryptBot, el tribunal ha otorgado una orden de restricción temporal para reforzar nuestros esfuerzos de interrupción técnica en curso contra los distribuidores y su infraestructura", dijeron Trinh y Bureau.

"La orden judicial nos permite eliminar dominios actuales y futuros que están vinculados a la distribución de CryptBot".

Que es CryptBot

El ladrón de información CryptBot es un malware de Windows diseñado para robar información confidencial de las computadoras de las víctimas. Esta información puede incluir credenciales de inicio de sesión, información de tarjeta de crédito y otros datos personales o financieros que se pueden utilizar para diversos fines fraudulentos.

Después de que el malware infecta un dispositivo, recopila datos en silencio y los envía de vuelta al servidor de comando y control (C2) sin el conocimiento de las víctimas.

Los datos robados por CryptBot se pueden utilizar para diversas actividades delictivas, incluido el robo de identidad, el fraude financiero, así como para obtener acceso no autorizado a cuentas y sistemas.

"Las versiones recientes de CryptBot han sido diseñadas para dirigirse específicamente a los usuarios de Google Chrome, que es donde los equipos del Grupo de Investigaciones de Delitos Cibernéticos (CCIG) y del Grupo de Análisis de Amenazas (TAG) de Google trabajaron para identificar a los distribuidores, investigar y tomar medidas", dijo Google.

La compañía también emprendió acciones legales para interrumpir la botnet Glupteba en diciembre de 2021 después de que el malware modular y habilitado para blockchain infectara a más de un millón de dispositivos Windows en todo el mundo desde 2011.

Como se reveló en noviembre de 2022, Google TAG observó una caída del 78% en las infecciones por Glupteba a pesar de que la botnet reanudó las operaciones después de la acción inicial de interrupción.

Fuente:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Apache Superset es vulnerable a la omisión de autenticación y la ejecución remota de código en configuraciones predeterminadas, lo que permite a los atacantes acceder y modificar datos, recopilar credenciales y ejecutar comandos.

Apache Superset es una herramienta de visualización y exploración de datos de código abierto desarrollada inicialmente para Airbnb antes de convertirse en un proyecto de alto nivel en la Apache Software Foundation en 2021.

Según un nuevo informe de Horizon3, Apache Superset utilizó una clave secreta de Flask predeterminada para firmar las cookies de sesión de autenticación. Como resultado, los atacantes pueden usar esta clave predeterminada para falsificar cookies de sesión que les permitan iniciar sesión con privilegios de administrador en servidores que no cambiaron la clave.

Si bien la documentación de Apache les dice a los administradores que cambien las claves secretas, Horizon3 dice que esta peligrosa configuración predeterminada es actualmente detectable en aproximadamente 2,000 servidores expuestos a Internet pertenecientes a universidades, corporaciones de diferentes tamaños, organizaciones gubernamentales y más.


Esta clave secreta de Flask predeterminada ampliamente utilizada es conocida por los atacantes que pueden usar flask-unsign y falsificar sus propias cookies para obtener acceso de administrador en el destino, acceder a bases de datos conectadas o ejecutar sentencias SQL arbitrarias en el servidor de aplicaciones.

"No estamos revelando ningún método de explotación en este momento, aunque creemos que será sencillo para los atacantes interesados resolverlo", advierte Horizon3.

Es importante tener en cuenta que si los administradores han cambiado la clave predeterminada con una desconocida para los atacantes, sus instalaciones no son vulnerables a este ataque.


Descubrimiento e impacto

La falla fue descubierta por el equipo de Horizon3 el 11 de octubre de 2021 e informada al equipo de seguridad de Apache.

El 11 de enero de 2022, los desarrolladores de software lanzaron la versión 1.4.1, que cambió el 'SECRET_KEY' predeterminado a una nueva cadena, y se agregó una advertencia a los registros cuando se detectó la cadena predeterminada en el inicio.


Horizon3 también encontró otras dos claves predeterminadas utilizadas en documentación y plantillas y usó Shodan para buscar instancias usando esas cuatro claves.

En ese momento, Horizon3 descubrió que aproximadamente 2.124 (67% del total) estaban mal configurados.


Horizon3 contactó a Apache nuevamente y planteó los problemas, y en febrero de 2023, los investigadores comenzaron a enviar advertencias a las organizaciones sobre la necesidad de cambiar su configuración.

Finalmente, el 5 de abril de 2023, el equipo de Superset lanzó la versión 2.1, que no permite que el servidor se inicie si está usando un 'SECRET_KEY' predeterminado.


Aunque esta solución drástica evita nuevos despliegues riesgosos, no corrige las configuraciones erróneas existentes, que según Horizon3, todavía están presentes en más de 2.000 casos.

La compañía de seguridad ha compartido un script en GitHub que los administradores de Apache Superset pueden usar para determinar si su instancia es vulnerable a los ataques.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Flathub se renueva. Tras varios meses de trabajo bajó el capó, pero también sobre este, la tienda de aplicaciones Flatpak ha presentado su nueva cara al mundo, una que no solo puede presumir de estar más guapa que nunca, sino de introducir características destacadas y largo tiempo esperadas, que de igual modo se han ido cociendo a fuego lento durante los últimos meses.

En efecto, Flathub es, no una tienda, sino la tienda de aplicaciones Flatpak, el mayor repositorio centralizado de aplicaciones en este formato de paquetes «universal», a la postre no uno, sino el más popular del escritorio Linux. Esto es tal cual, y es que aun cuando una de las cualidades elementales de Flatpak es su carácter descentralizado e independiente, a la hora de la verdad el grueso de las aplicaciones que se distribuyen en este formato recalan en Flathub.

De hecho, Flathub no es solo el estándar de facto en lo que a distribución de aplicaciones Flatpak se refiere porque los desarrolladores lo hayan querido así: son las propias distribuciones Linux las que lo han elevado a ese lugar, habilitando por defecto la integración con Flatpak y Flathub, cuyo soporte ha sido implementado previamente por los desarrolladores de los escritorios. Con la excepción de Canonical y su Ubuntu, cabe señalar.

Así, mientras que Ubuntu sigue siendo con casi toda probabilidad la número uno del escritorio Linux, es la única distribución de las grandes que le ha puesto trabas a Flatpak -y, por extensión, a Flathub- por un motivo obvio: es la mayor competencia de Snap, su propio formato de paquetes universal para el escritorio Linux, pero también para servidores y otros escenarios. El quid de la cuestión es que son muchas las distribuciones que apuestan por Flatpak, pero solo una la que lo hace por Snap.

En resumen: podemos llamar a Flathub la tienda de aplicaciones Flatpak y a Flatpak, el más popular de los formatos de paquete universal, al menos del escritorio Linux.


Teniendo todo lo dicho en cuenta, serán muchos los usuarios que se alegren por la mejora que acaba de recibir Flathub, un refresco en lo visual que tampoco es que fuera imprescindible, pues no se veía tan mal, pero que sin duda se agradece porque ahora se ve mejor. Tan sencillo como eso: el nuevo Flathub puede presumir de una interfaz más pulida, atractiva y bien estructurada; una interfaz más moderna y de diseño adaptable.

En esencia, el nuevo aspecto de Flathub es parecido al anterior, pero más minimalista si cabe, sin prescindir por ello de la funcionalidad ya presente. De hecho, ha ganado en funcionalidad, por ejemplo con la traducción del sitio o con el soporte de aplicaciones verificadas, un mecanismo bien conocido con el que distinguir aquellas aplicaciones que son suministradas y mantenidas, por norma general, por los desarrolladores de las mismas.

No es que haya problemas por descargar cualquier aplicación desde Flathub, pues todo lo que se sube está monitorizado por los responsables del proyecto, pero como ya sabemos, siempre se puede colar algo indeseable y más cuando se trata de portales tan populares y con un crecimiento importante como el experimentado por Flathub en los últimos años. Es por ello que encontrarse con el sello de verificado antes de descargar una aplicación, ofrecer un extra de confianza.

Todo muy bien, pues, salvo por un detalle: a falta de datos oficiales, se puede deducir que con Flathub integrado en GNOME Software y KDE Discover, las tiendas de aplicaciones de los dos principales entornos de escritorio de Linux, una mayoría de usuarios se apoyará en ellas para descubrir e instalar aplicaciones y la renovación visual, obviamente, no se reflejará en ellas, como tampoco lo hace por el momento el tema de los verificados.

Por último, cabe recordar que este es solo el primero de los objetivos que se han marcado los responsables de Flathub para el futuro más cercano, pero hay más que, conforme se vayan cumpliendo, iremos contando por aquí. mientras tanto, respondan la pequeña encuesta por favor 



Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Linus Torvalds ha anunciado la publicación de Linux 6.3, la última versión del kernel. A pesar de que el ritmo de lanzamientos ha aumentado debido a los cambios introducidos en el modelo de desarrollo, eso no ha impedido que las nuevas versiones traigan una gran cantidad de novedades y cambios. En esta ocasión vemos una aparente mejora en el soporte para los procesadores Zen de AMD, cosa que no debería sorprender si tenemos en cuenta que, en lo que respecta al soporte para Linux, el gigante rojo ha tenido que remar mucho para dar alcance a Intel (y eso suponiendo que le haya dado alcance).

Como AMD parece haberse llevado la parte más importante del pastel, empezamos por ahí. En este frente nos encontramos con la incorporación de IBRS automático en los procesadores de arquitectura Zen 4, tanto EPYC como los modelos de Ryzen orientados al escritorio. IBRS es una mitigación más eficiente frente a Spectre V2, un tipo de vulnerabilidad que, junto a su versión anterior, azota a muchos procesadores desde al menos principios de 2018. Estas vulnerabilidades están a nivel del hardware y son imposibles de solucionar mediante software y firmware, así que solo queda ir apilando mitigaciones en todos los frentes posibles: kernels, firmware, drivers, aplicaciones y casi cualquier software que esté presente en la computadora.

Continuando los procesadores modernos de AMD, también está la incorporación de P-State EPP (Energy Performance Preference), con el que pretende mejorar tanto el rendimiento como la eficiencia a través de la habitación del driver P-State. Esta característica puede venir muy bien principalmente en portátiles, sector en el que la eficiencia juega un rol importante, además de ser uno de los principales desafíos a los que se enfrenta el escritorio Linux. Para Xilinx, empresa que fue adquirida por AMD no hace mucho, está la fusión del driver XDMA para el subsistema de acceso directo a la memoria de Xilinx.

En lo que respecta al driver para las gráficas Radeon, AMDGPU, Linux 6.3 ha traído mejoras en la habilitación del soporte para RDNA 3 (RX 7000 y muchos modelos de de APU Ryzen 7000), algunas mejoras a nivel de eficiencia sobre placas base que no tienen soporte de S0ix a nivel de BIOS, además de que ahora se expone más información de PCIe al espacio del usuario, cosa que puede ser utilizada por los drivers de Mesa para optimizar la ubicación del búfer.

Aunque AMD está apretando el acelerador, Intel sigue siendo uno de los pesos pesados en lo que a contribuir al kernel se refiere. Aquí nos encontramos con preparaciones para Battlemage/DG3, la futura generación de gráficas dedicadas de la compañía, además de para Meteor Lake, generación de procesadores para la cual se ha habilitado el soporte VPU (Versatile Processing Unit) mediante un nuevo driver. Otra cosa introducida a nivel de procesadores es el driver TPMI, que puede ser usado para aliviar con diferentes características relacionadas con la gestión de la energía.

Continuando con más cosas relacionadas con Intel, el driver gráfico i915 cuenta ahora con el soporte de Compresión de Flujo de Visualización (DSC) del Transporte Multitransmisión de DisplayPort (DP MST) habilitado, mientras que por otro se ha avanzado en el soporte Ponte Vecchio, una serie de gráficas orientadas a centros de datos.

Saliéndonos del espectro x86, en este lanzamiento hay nuevos controladores para la gestión de la energía en ARM y RISC-V y se ha introducido soporte para el SoC Snapdragon Gen 2 de Qualcomm junto a otros modelos de procesadores ARM.

Linux 6.3 es un lanzamiento bastante potente en lo que a componentes de hardware se refiere, ya que se ha incluido soporte nativo inicial para la interfaz de controlador de la Steam Deck, soporte para la versión Xbox de los controladores tipo volante Logitech G923, un mejor soporte para el controlador 8BitDo Pro 2 por cable y HID-BPF, un desarrollo iniciado por ingenieros de Red Hat con el propósito de que sea más fácil lidiar con dispositivos que no funcionan correctamente con HID, en lugar de hacer un nuevo driver para arreglar fallos específicos. Para redes se puede destacar la Wi-Fi RTL8188EU de Realtek y el nuevo driver ath12k de Qualcomm para soportar chips Wi-Fi 7.

Se ha eliminado el soporte para el DualShock 4 del driver hid-sony, por lo que el controlador de PlayStation 4 pasará estar soportado solo por hid-playstation, diver oficial de Sony (hid-sony es semioficial, por si alguien pregunta). Además, la versión versión del kernel que nos ocupa cuenta con un sensor de monitoreo para muchas placas base de ASUS con chipsets B650, B660 y X670, los cuales están dirigidos a soportar la plataforma AMD Ryzen.

Para los sistemas de ficheros nos encontramos una mejora del rendimiento de la entrada-salida directa en EXT4, mejoras menores para F2FS y otras mejoras a nivel de rendimiento de características para Btrfs, entre las que se encuentra las heurísticas de clase de asignación de grupos de bloques para empaquetar archivos por tamaño y contribuir así a evitar la fragmentación en grupos de bloques.

Cambiar la versión del kernel no suele ser algo crítico para la mayoría de los usuarios, sobre todo si el hardware tiene algunos años. Aparte del tortuoso proceso de compilación, los usuarios pueden recurrir a una distribución rolling release y bleeding edge como Arch Linux, tener algo más de paciencia y esperar a que llegue a la versiones 37 y 38 de Fedora o recurrir a los repositorios de terceros que hay para Ubuntu.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha observado que los actores de amenazas aprovechan un complemento legítimo pero obsoleto de WordPress para enredarse subrepticiamente sitios web de puerta trasera como parte de una campaña en curso, reveló Sucuri en un informe publicado la semana pasada.

El plugin en cuestión es Eval PHP, lanzado por un desarrollador llamado flashpixx. Permite a los usuarios insertar páginas de códigos PHP y publicaciones de sitios de WordPress que luego se ejecutan cada vez que las publicaciones se abren en un navegador web.

Si bien Eval PHP nunca ha recibido una actualización en 11 años, las estadísticas recopiladas por WordPress muestran que está instalado en más de 8,000 sitios web, y el número de descargas se disparó de uno o dos en promedio desde septiembre de 2022 a 6,988 el 30 de marzo de 2023.

Solo el 23 de abril de 2023, se descargó 2,140 veces. El plugin ha acumulado 23.110 descargas en los últimos siete días.

Sucuri, propiedad de GoDaddy, dijo que observó las bases de datos de algunos sitios web infectados inyectados con código malicioso en la tabla "wp_posts", que almacena las publicaciones, páginas e información del menú de navegación de un sitio. Las solicitudes se originan en tres direcciones IP diferentes con sede en Rusia.

"Este código es bastante simple: utiliza la función file_put_contents para crear un script PHP en el docroot del sitio web con la puerta trasera de ejecución remota de código especificada", dijo el investigador de seguridad Ben Martin.


"Aunque la inyección en cuestión deja caer una puerta trasera convencional en la estructura de archivos, la combinación de un complemento legítimo y un cuentagotas de puerta trasera en una publicación de WordPress les permite reinfectar fácilmente el sitio web y permanecer ocultos. Todo lo que el atacante necesita hacer es visitar una de las publicaciones o páginas infectadas y la puerta trasera se inyectará en la estructura del archivo".

Sucuri dijo que detectó más de 6,000 instancias de esta puerta trasera en sitios web comprometidos en los últimos 6 meses, describiendo el patrón de insertar el malware directamente en la base de datos como un "desarrollo nuevo e interesante"

La cadena de ataque implica instalar el complemento Eval PHP en sitios comprometidos y hacer un mal uso para establecer puertas traseras persistentes en múltiples publicaciones que a veces también se guardan como borradores.

"La forma en que funciona el complemento PHP de Eval es suficiente para guardar una página como borrador para ejecutar el código PHP dentro de los códigos cortos [evalphp]", explicó Martin, y agregó que las páginas deshonestas se crean con un administrador del sitio real como autor, lo que sugiere que los atacantes pudieron iniciar sesión con éxito como usuario privilegiado.


El desarrollo apunta una vez más a cómo los actores maliciosos están experimentando con diferentes métodos para mantener su punto de apoyo en entornos comprometidos y evadir los escaneos del lado del servidor y el monitoreo de la integridad de los archivos.

Se recomienda a los propietarios de sitios que protejan el panel de control de WP Admin, así como que estén atentos a cualquier inicio de sesión sospechoso para evitar que los actores de amenazas obtengan acceso de administrador e instalen el complemento.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un nuevo malware ladrón "todo en uno" llamado EvilExtractor (también deletreado Evil Extractor) se está comercializando para la venta para que otros actores de amenazas roben datos y archivos de los sistemas Windows.

"Incluye varios módulos que funcionan a través de un servicio FTP", dijo Cara Lin, investigadora de Fortinet FortiGuard Labs. "También contiene comprobación del entorno y funciones Anti-VM. Su propósito principal parece ser robar datos e información del navegador de puntos finales comprometidos y luego cargarlos en el servidor FTP del atacante".

La compañía de seguridad de red dijo que observó un aumento en los ataques que propagan el malware en la naturaleza en marzo de 2023, con la mayoría de las víctimas ubicadas en Europa y Estados Unidos. Si bien se comercializa como una herramienta educativa, EvilExtractor ha sido adoptado por actores de amenazas para su uso como ladrón de información.

La herramienta de ataque está siendo vendida por un actor llamado Kodex en foros de delitos cibernéticos como Cracked que datan del 22 de octubre de 2022. Se actualiza continuamente y incluye varios módulos para desviar metadatos del sistema, contraseñas y cookies de varios navegadores web, así como registrar pulsaciones de teclas e incluso actuar como un ransomware al cifrar archivos en el sistema de destino.

También se dice que el malware se utilizó como parte de una campaña de correo electrónico de phishing detectada por la compañía el 30 de marzo de 2023. Los correos electrónicos atraen a los destinatarios a lanzar un ejecutable que se hace pasar por un documento PDF con el pretexto de confirmar los "detalles de su cuenta".

El binario "Account_Info.exe" es un programa Python ofuscado diseñado para iniciar un cargador .NET que usa un script de PowerShell codificado en Base64 para iniciar EvilExtractor. El malware, además de recopilar archivos, también puede activar la cámara web y capturar capturas de pantalla.

"EvilExtractor se está utilizando como un ladrón de información integral con múltiples características maliciosas, incluido el ransomware", dijo Lin. "Su script de PowerShell puede eludir la detección en un cargador .NET o PyArmor. En muy poco tiempo, su desarrollador ha actualizado varias funciones y ha aumentado su estabilidad".

Los hallazgos se producen cuando Secureworks Counter Threat Unit (CTU) detalló una campaña de publicidad maliciosa y envenenamiento SEO utilizada para entregar el cargador de malware Bumblebee a través de instaladores troyanos de software legítimo.


Bumbleebee, documentado por primera vez hace un año por el Grupo de Análisis de Amenazas de Google y Proofpoint, es un cargador modular que se propaga principalmente a través de técnicas de phishing. Se sospecha que fue desarrollado por actores asociados con la operación de ransomware Conti como reemplazo de BazarLoader.

El uso de envenenamiento SEO y anuncios maliciosos para redirigir a los usuarios que buscan herramientas populares como ChatGPT, Cisco AnyConnect, Citrix Workspace y Zoom a sitios web deshonestos que alojan instaladores contaminados ha sido testigo de un aumento en los últimos meses después de que Microsoft comenzó a bloquear macros de forma predeterminada de los archivos de Office descargados de Internet.

En un incidente descrito por la firma de ciberseguridad, el actor de amenazas utilizó el malware Bumblebee para obtener un punto de entrada y moverse lateralmente después de tres horas para implementar Cobalt Strike y software legítimo de acceso remoto como AnyDesk y Dameware. El ataque fue finalmente interrumpido antes de proceder a la etapa final de ransomware.

"Para mitigar esta y otras amenazas similares, las organizaciones deben asegurarse de que los instaladores y actualizaciones de software solo se descarguen de sitios web conocidos y confiables", dijo Secureworks. "Los usuarios no deberían tener privilegios para instalar software y ejecutar scripts en sus computadoras".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ya está disponible Ubuntu 23.04, una nueva versión de la distribución Linux de escritorio más popular, aunque también lo es en el ámbito profesional de los servicios. Este lanzamiento, sin embargo, no resultará de especial interés para el grueso de los usuarios, profesionales o no, dado que se trata de una versión «intermedia» con apenas nueve meses de soporte por delante.

Por el contrario, la versión recomendada es Ubuntu 22.02.2 LTS, disponible desde hace un par de meses con todo lo necesario para satisfacer los requisitos de mayoría de casos de uso, incluyendo factores como el soporte, pero también la disponibilidad de componentes modernos.

Con todo, se acaba de anunciar Ubuntu 23.04 y esta entrada y aun con las observaciones realizadas, estamos ante un lanzamiento realmente interesante en cuanto a novedades de importancia no solo para esta versión, sino para el futuro de la distribución, tal y como recogimos en la cobertura de la beta publicada hace unas semanas. Aunque no solo hay novedades significativas con respecto a Ubuntu: la «familia» también juega su papel.

Ubuntu 23.04, novedades

Ubuntu 23.04 con nombre en clave 'Lunar Lobster' se presenta con novedades de fondo -compartidas entre todas sus ediciones- como el kernel Linux 6.2 o Mesa 23 (componentes de los que se nutrirá a su vez la próxima Ubuntu 22.04.3 LTS, con lanzamiento previsto para finales de verano).

Acerca de Ubuntu en particular, la langosta lunar estrena el nuevo instalador de sistema del que os hablamos recientemente y que trae muchas cosas buenas, pero también limitaciones e inconsistencias, razón por la cual Canonical ha añadido una descarga alternativa de esta versión con el instalador tradicional, por si acaso alguien la echa en falta.

Cabe señalar que solo la edición principal de Ubuntu 23.04 se sirve con el nuevo instalador de sistema, el resto se mantienen con el de siempre.


No obstante, en materia de instalación hay otra novedad que será del interés de de muchos, como es una nueva imagen de red que mejorará la ya existente en rendimiento y opciones.

Ubuntu 23.04 destaca también por utilizar GNOME 44 como nueva versión del entorno de escritorio, con todas las novedades que ello conlleva; y por aumentar su apuesta por el tan pujante como polémico formato de paquetes Snap, en el que viene empaquetado hasta el nuevo instalador. Por lo demás, se menciona la llegada de Telegram como Snap, así como la etiqueta de estable para el cliente de Steam en Snap, o categorías para las aplicaciones Snap en Ubuntu Software.

A este respecto hay que decir que el auge de Snap en Ubuntu se antoja como imparable, y no solo para Ubuntu como tal, sino para todos los sabores oficiales, los cuales tienen [prohibida la preinstalación de Flatpak].

Ubuntu 23:04, sabores oficiales

Como ya sabe todo el mundo, Ubuntu no es una, sino muchas, y esas otras muchas también tienen novedades en su haber. De hecho, la familia ha crecido y Ubuntu 23.04 representa el primer lanzamiento de Ubuntu Cinnamon como sabor oficial, además del regreso de Edubuntu, la edición educativa de la distribución, desaparecida de la escena desde hace unos cinco años tras un declive que comenzó antes, pero que ahora se corrige.

Asimismo, al igual que Kubuntu, Xubuntu también pone a Pipewire por defecto en esta versión.

Kubuntu 23.04

De todos los sabores oficiales de Ubuntu, sin embargo, el de Kubuntu es el más interesante por estar basado en un conjunto de software tan potente como el del proyecto KDE y este lanzamiento lo certifica, con KDE Plasma 5.27 y KDE Gear 22.12 como principales pilares.

Xubuntu 23.04

Xubuntu es otro sabor atractivo del ecosistema de Ubuntu, así como uno de los preferidos por quienes buscan una experiencia clásica, ligera y potente. Su gran valor, Xfce 4.18.

Ubuntu MATE 23.04

Como en el anterior lanzamiento, Ubuntu MATE se mantiene en MATE 1.26, una versión del escritorio con casi dos años a sus espaldas y que, a diferencia de otros de los sabores de Ubuntu, no presenta mucho atractivo.

Ubuntu Budgie 23.04

Lo mismo se podría decir a priori de Ubuntu Budgie, pero no sería cierto: si bien no es este el escritorio má recomendable, al menos está convenientemente actualizado a la última Budgie 10.7

Ubuntu Unity 23.04

Ubuntu Unity es otras de las ediciones que hace poco se incorporaron de manera oficial a la oferta de Ubuntu y llega, como la anterior, con un Unity 7.7 apenas renovado con actualizaciones menores.

Ubuntu Cinnamon 23.04

Ubuntu Cinnamon es una de las novedades más destacadas de este lanzamiento, aunque poco podemos añadir al respecto porque aunque la versión es Cinnamon 5.6, los desarrolladores de este escritorio no se molestan en publicar nada.

Lubuntu 23.04

Por último, el sabor ligero por excelencia de Ubuntu, que desde hace tiempo ya no es LXDE sino LXQt. Llega con LXQt 1.2, aunque permitirá la actualización el recién salido del horno LXQt 1.3 vía backports.

Ubuntu Studio y Edubuntu

Sí, aún quedan un par de los sabores oficiales de Ubuntu, y eso que de Ubuntu Kylin (el Ubuntu para China) no hablamos por razones obvias. En este caso, son dos ediciones muy especiales, cada una enfocada en su nicho: Ubuntu Studio 23.04, cque también se basa en KDE Plasma; y Edubundo, el Ubuntu educativo, disponible de nuevo un lustro después de su desaparición y con base en Ubuntu y GNOME.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una campaña de ataque a gran escala descubierta en la naturaleza ha estado explotando el control de acceso basado en roles (RBAC) de Kubernetes (K8s) para crear puertas traseras y ejecutar mineros de criptomonedas.

"Los atacantes también desplegaron DaemonSets para hacerse cargo y secuestrar los recursos de los clústeres K8s que atacan", dijo la firma de seguridad en la nube Aqua en un informe compartido con The Hacker News. La compañía israelí, que denominó el ataque RBAC Buster, dijo que encontró 60 grupos K8 expuestos que han sido explotados por el actor de amenazas detrás de esta campaña.

La cadena de ataque comenzó con el atacante obteniendo acceso inicial a través de un servidor API mal configurado, seguido de la verificación de evidencia de malware minero competidor en el servidor comprometido y luego usando RBAC para configurar la persistencia.

"El atacante creó un nuevo ClusterRole con privilegios casi de nivel de administrador", dijo la compañía. "A continuación, el atacante creó un 'ServiceAccount', 'kube-controller' en el espacio de nombres 'kube-system'. Por último, el atacante creó un 'ClusterRoleBinding', vinculando el ClusterRole con ServiceAccount para crear una persistencia fuerte y discreta.

En la intrusión observada contra sus honeypots K8s, el atacante intentó convertir en arma las claves de acceso de AWS expuestas para obtener un punto de apoyo arraigado en el entorno, robar datos y escapar de los confines del clúster.


El paso final del ataque implicó que el actor de amenazas creara un DaemonSet para implementar una imagen de contenedor alojada en Docker ("kuberntesio / kube-controller: 1.0.1") en todos los nodos. El contenedor, que ha sido retirado 14.399 veces desde su carga hace cinco meses, alberga un minero de criptomonedas.

"La imagen del contenedor llamada 'kuberntesio / kube-controller' es un caso de typosquatting que se hace pasar por la cuenta legítima de 'kubernetesio'", dijo Aqua. "La imagen también imita la popular imagen de contenedor 'kube-controlador-gerente', que es un componente crítico del plano de control, que se ejecuta dentro de un Pod en cada nodo maestro, responsable de detectar y responder a las fallas del nodo".

Curiosamente, algunas de las tácticas descritas en la campaña tienen similitudes con otra operación minera ilícita de criptomonedas que también aprovechó DaemonSets para acuñar Dero y Monero. Actualmente no está claro si los dos conjuntos de ataques están relacionados.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google ha abordado una vulnerabilidad de seguridad de Cloud Platform (GCP) que afecta a todos los usuarios y permite a los atacantes mantener sus cuentas por la puerta trasera utilizando aplicaciones OAuth maliciosas instaladas desde Google Marketplace o proveedores externos.

Llamada GhostToken por Astrix Security, la startup israelí de ciberseguridad que lo encontró y lo informó a Google en junio de 2022, esta falla de seguridad se abordó a través de un parche global que se lanzó a principios de abril de 2023.

Después de ser autorizadas y vinculadas a un token OAuth que le da acceso a la cuenta de Google, las aplicaciones maliciosas podrían ser invisibilizadas por los atacantes después de explotar esta vulnerabilidad.

Esto ocultaría la aplicación de la página de administración de aplicaciones de Google, el único lugar donde los usuarios de Google pueden administrar aplicaciones conectadas a sus cuentas.

"Dado que este es el único lugar donde los usuarios de Google pueden ver sus aplicaciones y revocar su acceso, el exploit hace que la aplicación maliciosa no se pueda eliminar de la cuenta de Google", dijo Astrix Security.

"El atacante, por otro lado, como quiera, puede mostrar su aplicación y usar el token para acceder a la cuenta de la víctima, y luego ocultar rápidamente la aplicación nuevamente para restaurar su estado inamovible. En otras palabras, el atacante tiene un token 'fantasma' en la cuenta de la víctima".

Para ocultar aplicaciones maliciosas autorizadas por las víctimas, los atacantes solo tenían que hacerlas entrar en un estado de "eliminación pendiente" eliminando el proyecto GCP vinculado.

Sin embargo, después de restaurar el proyecto, se les proporcionaría un token de actualización que permitía recuperar un nuevo token de acceso que podría usarse para obtener acceso a los datos de las víctimas.

Estos pasos podrían repetirse en un bucle, permitiendo a los atacantes eliminar y restaurar el proyecto GCP para ocultar la aplicación maliciosa cada vez que necesiten acceso a los datos de la víctima.


El impacto del ataque depende de los permisos otorgados a las aplicaciones maliciosas instaladas por las víctimas.

La vulnerabilidad "permite a los atacantes obtener acceso permanente e inamovible a la cuenta de Google de una víctima al convertir una aplicación de terceros ya autorizada en una aplicación troyana maliciosa, dejando los datos personales de la víctima expuestos para siempre", dijo Astrix Security Research Group.

"Esto puede incluir datos almacenados en las aplicaciones de Google de la víctima, como Gmail, Drive, Docs, Photos y Calendar, o los servicios de Google Cloud Platform (BigQuery, Google Compute, etc.)".

El parche de Google permite que las aplicaciones de GCP OAuth en estados de "eliminación pendiente" aparezcan en la página "Aplicaciones con acceso a su cuenta", lo que permite a los usuarios eliminarlas y proteger sus cuentas de intentos de secuestro.

Astrix aconseja a todos los usuarios de Google que visiten la página de administración de aplicaciones de su cuenta y verifiquen todas las aplicaciones autorizadas de terceros, asegurándose de que cada una de ellas tenga solo los permisos que necesitan para funcionar.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El ataque a la cadena de suministro de software X_Trader que condujo a la violación de 3CX del mes pasado también ha afectado al menos a varias organizaciones de infraestructura crítica en los Estados Unidos y Europa, según el equipo de cazadores de amenazas de Symantec.

El grupo de amenazas respaldado por Corea del Norte vinculado a los ataques Trading Technologies y 3CX utilizó un instalador troyano para X_Trader software para implementar la puerta trasera modular de múltiples etapas VEILEDSIGNAL en los sistemas de las víctimas.

Una vez instalado, el malware podría ejecutar shellcode malicioso o inyectar un módulo de comunicación en los procesos de Chrome, Firefox o Edge que se ejecutan en sistemas comprometidos.

"La investigación inicial realizada por el equipo de cazadores de amenazas de Symantec ha encontrado, hasta la fecha, que entre las víctimas se encuentran dos organizaciones de infraestructura crítica en el sector energético, una en los Estados Unidos y la otra en Europa", dijo la compañía en un informe publicado hoy.

"Además de esto, otras dos organizaciones involucradas en el comercio financiero también fueron violadas".

Si bien el compromiso de la cadena de suministro de Trading Technologies es el resultado de una campaña motivada financieramente, la violación de múltiples organizaciones de infraestructura crítica es preocupante, ya que los grupos de piratería respaldados por Corea del Norte también son conocidos por el espionaje cibernético.

Es muy probable que las organizaciones estratégicas comprometidas como parte de este ataque a la cadena de suministro también sean seleccionadas para su posterior explotación.

Si bien Symantec no nombró a las dos organizaciones del sector energético, el director de respuesta de seguridad del equipo de Symantec Threat Hunter, Eric Chien, dijo a BleepingComputer que son "proveedores de energía que generan y suministran energía a la red".

Ataque de gran alcance a la cadena de suministro
Después de haber violado al menos cuatro entidades más además de 3CX con la ayuda del software X_Trader troyanos, también es muy probable que la campaña de piratería de Corea del Norte ya haya afectado a víctimas adicionales aún por descubrir.

"El descubrimiento de que 3CX fue violado por otro ataque anterior a la cadena de suministro hizo que fuera muy probable que más organizaciones se vieran afectadas por esta campaña, que ahora resulta ser mucho más amplia de lo que se creía originalmente", agregó Symantec.

"Los atacantes detrás de estas violaciones claramente tienen una plantilla exitosa para los ataques a la cadena de suministro de software y, además, no se pueden descartar ataques similares".

El jueves, Mandiant vinculó a un grupo de amenazas norcoreano que rastrea como UNC4736 con el ataque en cascada a la cadena de suministro que afectó a la compañía de VoIP 3CX en marzo.

UNC4736 está relacionado con el Grupo Lazarus patrocinado por Corea del Norte motivado financieramente detrás de la Operación AppleJeus [1, 2, 3], previamente vinculado por el Grupo de Análisis de Amenazas (TAG) de Google al compromiso del sitio web de Trading Technologies.

Basándose en la superposición de la infraestructura de ataque, Mandiant también conectó UNC4736 con dos clústeres de actividad maliciosa APT43 rastreados como UNC3782 y UNC4469.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login