Capital Software Blog

20 de diciembre – Informe de Inteligencia de Amenazas

Para los últimos descubrimientos en ciberrequisicióne para la semana del 20 de diciembre, por favor descargue nuestro Boletín de Inteligencia de Amenazas.

Principales ataques e infracciones

  • Check Point Research ha informado que un grupo de amenaza iraní comúnmente asociado con el régimen local, «Charming Kitten», ha estado tratando de explotar la vulnerabilidad Log4j contra 7 objetivos israelíes en el gobierno y los sectores empresariales.

Check Point IPS proporciona protección contra esta amenaza (Apache Log4j Remote Code Execution (CVE-2021-44228))

  • El grupo iraní APT MuddyWater, patrocinado por el estado, supuestamente ha atacado a una aerolínea asiática con una nueva puerta trasera llamada «Aclip» que utiliza Slack para ofuscar las comunicaciones operativas. Es probable que los actores de amenazas hayan accedido con éxito a los datos de reserva en el proceso.
  • El sitio web británico de publicidad clasificada en línea Gumtree.com ha sufrido una fuga de datos y confirmó que los atacantes accedieron a las direcciones de correo electrónico, nombres de contacto y números de teléfono de los clientes solo presionando la tecla F12 en un navegador web para ver el código fuente HTML del sitio.
  • La banda conti ransomware está aprovechando la falla Log4j como acceso inicial para el movimiento lateral en VMware vCenter que afecta a las redes con sede en EE. UU. y Europa.

Check Point Harmony Endpoint, IPS, Threat Emulation y Anti-Bot proporcionan protección contra esta amenaza

  • Los servidores de Microsoft Exchange Outlook Web Access están siendo atacados por piratas informáticos que aprovechan un módulo de servidor web IIS malintencionado «Owowa» en un intento de robar credenciales y ejecutar comandos de forma remota.
  • Los investigadores advierten de una campaña de phishing que aprovecha el lanzamiento de la nueva película «Spider-Man: No Way Home»: los sitios de phishing que requieren el registro con los detalles de la tarjeta de crédito para que las víctimas compren copias de la película se utilizan para robar información de pago e infectar el sistema con troyanos y adware.
  • El malware TinyNuke se está propagando nuevamente en Francia en una campaña de robo de credenciales y datos dirigida a la logística, el transporte y otros sectores: los actores de amenazas están utilizando bates de correo electrónico con temática de facturas que contienen un ejecutable ZIP que dejará caer la carga útil.

Check Point Anti-Virus y Anti-Bot proporcionan protección contra esta amenaza

Vulnerabilidades y parches

  • Los investigadores de Google han analizado el exploit «zero-click» del grupo NSO y descubrieron que es posible que un dispositivo móvil se vea comprometido solo al recibir un SMS a través de iMessage. Los expertos calificaron el exploit como el más «sofisticado y aterrador que jamás hayan visto».
  • Las computadoras portátiles Lenovo son vulnerables a dos defectos; CVE-2021-3922 y CVE-2021-3969, que son vulnerabilidades de elevación de privilegios en ImControllerService. Los hackers podrían ejecutar comandos con privilegios de administrador e instalar malware.
  • Microsoft solicitó a los administradores que actualizaran inmediatamente el último servidor de Minecraft para protegerse contra los nuevos intentos de Khonsari Ransomware para aprovechar la vulnerabilidad Log4j CVE-2021-44228.

Check Point IPS proporciona protección contra esta amenaza (Apache Log4j Remote Code Execution (CVE-2021-44228))

  • Western Digital insta a sus usuarios a actualizar sus dispositivos WD My Cloud para obtener actualizaciones de seguridad en el firmware para proteger sus datos de ataques aprovechando CVE-2021-35941 (error de restablecimiento de fábrica autenticado) y CVE-2018-18472 (defecto crítico de ejecución de comandos raíz).

Check Point IPS proporciona protección contra este tratamiento (Western Digital MyBook Live Remote Code Execution (CVE-2018-18472))

Informes de inteligencia de amenazas

  • Check Point Research ha descubierto «Twizt», una nueva variante de la botnet Phorpiex responsable de robar casi medio millón de dólares en criptomonedas a través de una técnica llamada «recorte criptográfico», Twizt puede robar criptomonedas durante las transacciones sustituyendo automáticamente la dirección de billetera prevista con la dirección de billetera del actor de amenazas y puede operar sin servidores C&C activos.

Check Point Anti-Bot proporciona protección contra esta amenaza (Worm.Win32.Phorpiex)

  • Check Point Research ha descubierto un troyano ejecutable Win32 identificado como StealthLoader, instalado a través de exploits de la falla Log4j. StealthLoader entrega un minero de criptomonedas a la máquina infectada.

La emulación de amenazas de Check Point proporciona protección contra esta amenaza

  • Meta ha prohibido a algunas compañías de espionaje a sueldo de su plataforma, acusándolas de ejecutar cuentas falsas para atacar a decenas de miles de personas con fines de vigilancia, en más de 100 países.
  • El troyano bancario Anubis está siendo aprovechado en una campaña de ciberdelincuencia haciéndose pasar por el proveedor de telecomunicaciones francés Orange. El malware puede extraer datos relacionados con las finanzas y más del dispositivo de la víctima después de alentarlos a deshabilitar Google Play Protected.

Check Point Harmony Mobile proporciona protección contra esta amenaza

Fuente: Check Point Research