El 19 de mayo de 2022, los investigadores identificaron dos exploits de prueba de concepto (software malicioso) alojados por el popular proveedor de alojamiento de desarrollo de software, GitHub. El software se dirigió a miembros de la comunidad InfoSec en un ataque conocido como Cobalt Strike.
Los dos archivos se disfrazaron de vulnerabilidades de Windows corregidas por Microsoft en abril de 2022. Se desconoce cuántas personas pueden haber ejecutado los archivos maliciosos y si algún sistema se vio comprometido, pero es probable que los archivos se prueben en un entorno de espacio aislado para que cualquier impacto potencial sea limitado.
¿Qué es InfoSec?
InfoSec es el nombre abreviado de Seguridad de la Información y se refiere a la comunidad de personas comprometidas a prevenir ataques cibernéticos o al menos reducir la probabilidad de tales eventos. Si ocurren ataques como este, esta comunidad también trabaja para mitigar cualquier impacto potencial.
InfoSec se compromete con un enfoque conocido como la Tríada de la CIA, y el núcleo de este enfoque es proteger la integridad, confidencialidad y disponibilidad de los datos. Además de esto, la comunidad también implementa políticas eficientes con una gestión de riesgos estructurada.
¿Qué es un Cobalt Strike y cómo sucedió?
Un Cobalt Strike es un marco público de comando y control del equipo rojo. El término "equipo rojo" se refiere a un grupo que desempeña el papel de un enemigo o competidor que lanza un ciberataque con fines de seguridad.
Los actores de amenazas pueden usar un Cobalt Strike para conectarse con una red, lo que les permite acceder a los datos y mantener un canal de conexión persistente. En este caso, la conexión podría haberse realizado cuando se ejecutó el malware (disfrazado de archivos falsos de Windows).
¿Cómo se ejecutó este ataque?
Las personas detrás del ataque disfrazaron los archivos como las vulnerabilidades de prueba de concepto, ejecución remota de código de Windows CVE-2022-24500 y CVE-2022-26809.
Generalmente, cuando Microsoft crea un parche para una vulnerabilidad, los miembros de InfoSec realizan un análisis sobre él y lanzan software de prueba de concepto en GitHub para proporcionar acceso al resto de la comunidad. Los investigadores de InfoSec pueden usar exploits de prueba de concepto para probar sus propios sistemas y demostrar a los administradores que necesitan instalar nuevas actualizaciones de seguridad. Desafortunadamente, los atacantes pueden aprovechar este proceso para disfrazar archivos maliciosos y obtener acceso a información y redes.
Este archivo en particular era una aplicación .NET que explotaba las direcciones IP, creando un programa de puerta trasera que permitía el acceso al dispositivo y la red de una persona. La aplicación ejecuta un archivo que, a continuación, inicia un script de PowerShell comprimido con gzip. Este tipo de ataque no es nada nuevo, pero como parece, algunos miembros de la comunidad InfoSec descargaron los archivos bien disfrazados.
¿Qué medidas se tomaron?
Afortunadamente, el ataque fue identificado rápidamente, lo que resultó en una rápida acción y prevención.
Desde entonces, GitHub ha eliminado los archivos de los repositorios y ha eliminado la cuenta que los creó. La cuenta era propiedad de un usuario llamado 'rkxxz'.
La noticia del ataque se informó rápidamente en Twitter y foros de piratería, y se tomaron medidas de manera rápida y efectiva.
¿Qué tenían que ganar los atacantes?
Los atacantes podrían haber estado buscando obtener acceso a cualquier hallazgo de vulnerabilidad en el que la víctima pudiera haber estado trabajando. Sin embargo, el escenario más probable es que estuvieran intentando obtener acceso a la red de una empresa de ciberseguridad.
Al lograr esto, el atacante probablemente habría tenido acceso a una variedad de información potencialmente valiosa, que incluye:
- Evaluaciones detalladas de vulnerabilidades
- Agujeros de seguridad no resueltos
- Detalles para acceder a las redes de clientes de forma remota
Usando esta información, el atacante podría haber tenido todo lo que necesitaba para cometer actividades fraudulentas y acceder a los registros financieros. Un informe reciente de TheCyberWire muestra que los ataques de ransomware están en aumento, y muchos de ellos están vinculados a la guerra entre Rusia y Ucrania.
Tanto para la comunidad de InfoSec como para los usuarios cotidianos de Internet, una VPN avanzada es una de las mejores maneras de ayudar a protegerse de tales ataques, ayudando a ocultar las direcciones IP y proteger su actividad en línea.
¿Ha habido un ciberataque como este antes?
Este está lejos de ser el primer ataque de este tipo, y ha habido numerosos incidentes de alto perfil solo en los últimos 18 meses que se han dirigido a la comunidad de InfoSec. Un grupo de hackers norcoreano llamado Lazarus ha sido acreditado con al menos dos ataques importantes durante este tiempo.
En enero de 2021, Lazarus se dirigió a los investigadores de vulnerabilidades a través de cuentas falsas de redes sociales y mediante el uso de vulnerabilidades de navegador web de día cero. Una vulnerabilidad de día cero se refiere a una vulnerabilidad que se ha divulgado pero que aún no se ha parcheado, lo que brinda a los piratas informáticos una breve ventana para aprovecharla.
Lazarus lanzó otro ataque en noviembre de 2021 contra una de las principales instituciones financieras mundiales, la Asociación Internacional de Fomento (AIF). Se trataba de un virus troyano (específicamente el virus de acceso remoto NukeSpeed) de una aplicación de ingeniería inversa profesional desarrollada por la IDA.
Fake Windows Cobalt Strike: una conclusión
Esto puede ser mucha información para asimilar, especialmente si eres nuevo en el mundo cibernético y de seguridad de la información. Aquí hay un resumen condensado y digerible:
- El 19 de mayo de 2022, los investigadores de InfoSec identificaron dos archivos maliciosos alojados en GitHub, disfrazados de archivos falsos de prueba de concepto de Windows. Los archivos PoC en cuestión fueron las vulnerabilidades de ejecución remota de código CVE-2022-24500 y CVE-2022-26809.
- Los archivos ejecutables lanzaron lo que se conoce como Cobalt Strike, lo que permite al atacante crear una conexión persistente en la red de la víctima. Esto les permitiría acceder a una serie de información confidencial.
- Una vez identificada, la noticia del Cobalt Strike fue reportada rápidamente en Twitter y foros de piratería.
- GitHub respondió eliminando los archivos en cuestión y luego eliminó la cuenta que los cargó, perteneciente a un usuario llamado 'rkxxz'.
- Si tiene éxito, el atacante podría haber obtenido acceso remoto a la red del investigador o incluso a las empresas de seguridad cibernética para las que trabajan, lo que les permite descubrir detalles sobre las vulnerabilidades de seguridad.
- Se desconoce cuántos miembros de la comunidad InfoSec pueden haber descargado los archivos maliciosos. Sin embargo, las pruebas se llevarán a cabo en un entorno sandbox, lo que reducirá cualquier impacto potencial.
Crédito de la imagen: Pixabay
¿Estás pensando en comprar un producto en línea?Conoce el Comparador de precios y ofertas online idealo.es . Es gratis y te ofrece comparativas de precios en las principales tiendas on line y cupones para que puedas comprar siempre al mejor precio: Comparación de precios y seguimiento de precios de más de 600,000 productos: consulte Comparador de precios y ofertas online
- NGLTYQ?:uenta con su apoyo. Considere contribuir con el botón a continuación para seguir brindando contenido excelente.
Ya conoces nuestro canal de YouTube? ¡Suscríbete!
Te ha resultado útil esta información? Tus comentarios nos ayudan a mejorar esta web
Si te ha gustado esta información, por favor apoya nuestro trabajo y este sitio web: compartir o comentar este artículo es un buen comienzo!. Para cualquier duda puedes dejarnos su comentario recibirás una respuesta lo mas rápido posible.
Puedes seguirnos en Twitter o unirse a nuestro Fan Page Facebook , Grupo Facebook, Instagram, Suscribirte a nuestro canal de You Tube para mantenerse actualizado sobre lo último en tecnología móvil e informática en general