[ad_1]
Los investigadores de ciberseguridad han detallado un ataque que involucró a un actor de amenazas que utilizó una puerta trasera basada en Python para mantener el acceso persistente a los puntos finales comprometidos y luego aprovechó este acceso para implementar el RansomHub ransomware en toda la red de destino.
De acuerdo a Seguridad de GuidePointse dice que el acceso inicial fue facilitado mediante un malware JavaScript descargado llamado SocGholish (también conocido como FakeUpdates), que se sabe que es repartido a través de campañas encubiertas que engañan a los usuarios desprevenidos para que descarguen actualizaciones falsas del navegador web.
Estos ataques comúnmente involucrar el uso de sitios web legítimos pero infectados a los que se redirige a las víctimas desde los resultados de los motores de búsqueda utilizando técnicas de optimización de motores de búsqueda (SEO) de sombrero negro. Tras la ejecución, SocGholish establece contacto con un servidor controlado por un atacante para recuperar cargas útiles secundarias.
Tan recientemente como el año pasado, las campañas de SocGholish han dirigido Sitios de WordPress que dependen de versiones obsoletas de complementos de SEO populares como Yoast (CVE-2024-4984puntuación CVSS: 6,4) y Rank Math PRO (CVE-2024-3665puntuación CVSS: 6,4) para acceso inicial.
En el incidente investigado por GuidePoint Security, se descubrió que la puerta trasera de Python se había eliminado unos 20 minutos después de la infección inicial a través de SocGholish. Luego, el actor de amenazas procedió a entregar la puerta trasera a otras máquinas ubicadas en la misma red durante el movimiento lateral a través de sesiones RDP.
«Funcionalmente, el script es un proxy inverso que se conecta a una dirección IP codificada. Una vez que el script ha pasado el protocolo de enlace inicial de comando y control (C2), establece un túnel que se basa en gran medida en el protocolo SOCKS5». dijo el investigador de seguridad Andrew Nelson.
«Este túnel permite al actor de amenazas moverse lateralmente en la red comprometida utilizando el sistema de la víctima como proxy».
El script Python, cuya versión anterior fue documentado por ReliaQuest en febrero de 2024, ha sido detectado en estado salvaje desde principios de diciembre de 2023, mientras sufre «cambios a nivel de superficie» que tienen como objetivo mejorar los métodos de ofuscación utilizados para evitar la detección.
GuidePoint también señaló que el script decodificado está pulido y bien escrito, lo que indica que el autor del malware es meticuloso a la hora de mantener un código Python altamente legible y comprobable o confía en herramientas de inteligencia artificial (IA) para ayudar con la tarea de codificación.
«Con la excepción de la ofuscación de variables locales, el código se divide en clases distintas con nombres de métodos y variables altamente descriptivos», añadió Nelson. «Cada método también tiene un alto grado de manejo de errores y mensajes de depuración detallados».
La puerta trasera basada en Python está lejos de ser el único precursor detectado en los ataques de ransomware. Como destacó Halcyon a principios de este mes, algunas de las otras herramientas desplegado antes de la implementación del ransomware se incluyen los responsables de:
- Deshabilitar las soluciones de detección y respuesta de endpoints (EDR) mediante EDRSilencer y Backstab
- Robar credenciales usando LaZagne
- Comprometer cuentas de correo electrónico mediante credenciales de fuerza bruta usando MailBruter
- Mantener un acceso sigiloso y entregar cargas útiles adicionales utilizando Sirefef y Mediyes
También se han observado campañas de ransomware dirigidas a depósitos de Amazon S3 aprovechando el cifrado del lado del servidor de Amazon Web Services con claves proporcionadas por el cliente (SSE-C) para cifrar los datos de la víctima. La actividad se ha atribuido a un actor de amenazas denominado Codefinger.
Además de impedir la recuperación sin la clave generada, los ataques emplean tácticas de rescate urgentes en las que los archivos se marcan para su eliminación en un plazo de siete días a través de la API de gestión del ciclo de vida de objetos de S3 para presionar a las víctimas para que paguen.
«El actor de amenazas Codefinger abusa de las claves de AWS divulgadas públicamente con permisos para escribir y leer objetos S3», Halcyon dicho. «Al utilizar los servicios nativos de AWS, logran el cifrado de una manera segura e irrecuperable sin su cooperación».
El desarrollo se produce cuando SlashNext dijo que ha sido testigo de un aumento en las campañas de phishing «rápidas» que imitan las del equipo de ransomware Black Basta. técnica de bombardeo de correo electrónico para inundar las bandejas de entrada de las víctimas con más de 1.100 mensajes legítimos relacionados con boletines informativos o avisos de pago.
«Luego, cuando la gente se siente abrumada, los atacantes atacan a través de llamadas telefónicas o mensajes de Microsoft Teams, haciéndose pasar por soporte técnico de la empresa con una solución simple», dijo la compañía. dicho.
«Hablan con confianza para ganarse la confianza, indicando a los usuarios que instalen software de acceso remoto como TeamViewer o AnyDesk. Una vez que ese software está en un dispositivo, los atacantes se introducen silenciosamente. Desde allí, pueden difundir programas dañinos o infiltrarse en otras áreas del sistema. red, despejando el camino directo a los datos confidenciales».
[ad_2]
Enlace fuente
