🛡 GuardianDigital - 18 junio
Hacker Atacan ERPs; Ataques en Aplicaciones SaaS; Infostealers en Vortax; Vulnerabilidad en: Android y ASUS; Microsoft retrasa el lanzamiento de Recall; Simulación de Ataque Cibernético de IA.
🦠Amenazas
Hackers atacan servidores ERP para desplegar servicios proxy y VPN
El Centro de Inteligencia de Seguridad AhnLab reveló un ataque en el que un hacker comprometió el servidor de planificación de recursos empresariales (ERP) de una empresa coreana y configuró un servidor VPN SoftEther. Los atacantes emplean herramientas proxy como HTran y FRP junto con malware como SystemBC o Bunitu para acceder a redes internas, y utilizan servidores VPN para mejorar la seguridad y dificultar el rastreo. (Cyber Security News)
Hackers explotan sitios web legítimos para entregar el backdoor BadSpace en Windows
Los hackers están utilizando sitios web legítimos pero comprometidos para entregar un backdoor en Windows llamado BadSpace, bajo la apariencia de actualizaciones falsas del navegador. Este ataque, revelado por la empresa de ciberseguridad alemana G DATA, emplea una cadena de ataque en varias etapas que incluye un sitio web infectado y un servidor de comando y control (C2). BadSpace puede tomar capturas de pantalla, ejecutar instrucciones y leer y escribir archivos. (RedPacket Security)
Nuevos ataques de Scattered Spider apuntan a aplicaciones SaaS
El colectivo de hackers Scattered Spider ha dirigido nuevos ataques hacia aplicaciones de software como servicio (SaaS) para facilitar la exfiltración de datos sin realizar cifrado de ransomware. Según el informe de Mandiant, estos intrusos emplean señuelos de ingeniería social para acceder inicialmente y luego utilizan permisos de inicio de sesión único de Okta para explotar aplicaciones en la nube y SaaS. (SC Media)
El software de reuniones Vortax difunde infostealers y revela una red expansiva de aplicaciones maliciosas para macOS
El grupo Insikt de Recorded Future identificó una campaña de ciberataques que utiliza Vortax, un supuesto software de reuniones virtuales, para distribuir tres infostealers: Rhadamanthys, Stealc y Atomic macOS Stealer (AMOS). Esta campaña se dirige principalmente a usuarios de criptomonedas y explota vulnerabilidades en macOS, revelando una red expansiva de aplicaciones maliciosas. (Recorded Future)
🚨Vulnerabilidades
Autenticación incorrecta en Devolutions Remote Desktop Manager
Una vulnerabilidad en Devolutions Remote Desktop Manager permite a un atacante que ha comprometido el acceso a una instancia de RDM eludir la contraseña maestra de la bóveda mediante la función de modo offline. Esta vulnerabilidad afecta a las versiones 2024.1.31.0 y anteriores. (NVD)
Exfiltración de datos sensibles de aplicaciones en Android 12 y 13
Con acceso físico a un dispositivo Android con depuración ADB habilitada, se puede acceder a datos internos de cualquier aplicación instalada, explotando la vulnerabilidad CVE-2024-0044. Esta vulnerabilidad afecta a dispositivos con Android 12 y 13 antes del parche de seguridad de marzo de 2024. (Mobile Hacker)
Vulnerabilidad crítica en routers ASUS (CVE-2024-3912)
Una vulnerabilidad grave en múltiples modelos de routers ASUS permite a atacantes remotos ejecutar comandos sin autenticación. Esta falla, identificada por el investigador Carlos Köpke, afecta a modelos como DSL-N17U, DSL-N55U y DSL-N66U, entre otros. ASUS ha lanzado actualizaciones de firmware para mitigar este riesgo. (Security Online)
Vulnerabilidad de elevación de privilegios en Microsoft Windows CloudExperienceHost
Se encontró una vulnerabilidad crítica en Microsoft Windows que permite a atacantes elevar privilegios explotando objetos COM no verificados en CloudExperienceHost. Esta vulnerabilidad, clasificada como CWE-269, puede ser explotada de forma remota y requiere autenticación para su explotación. (VulDB)
💡Tendencias de Seguridad
La ausencia de autenticación multifactor llevó al hackeo de Medibank, alega el regulador
La Oficina del Comisionado de Información de Australia (OAIC) alega que la falta de autenticación multifactor en Medibank permitió el hackeo masivo de datos en 2022, que afectó a 9.7 millones de clientes. Los documentos presentados en la Corte Federal indican que las credenciales se robaron debido a que un empleado guardó sus detalles de inicio de sesión en un navegador web personal. La OAIC afirma que Medibank incumplió la Ley de Privacidad al no proteger adecuadamente la información sensible de sus clientes. (ABC News)
Microsoft retrasa el lanzamiento de Recall por preocupaciones de privacidad y seguridad
Microsoft ha pospuesto la vista previa de la función Recall para Copilot+ PCs debido a críticas sobre privacidad y seguridad. Recall rastrea la actividad del usuario tomando capturas de pantalla regulares, lo que ha generado preocupaciones sobre la facilidad con que los atacantes pueden acceder a estos datos. Microsoft solo lanzará Recall para el Programa Insider de Windows antes de hacerlo disponible para todos los usuarios de Copilot+. (Malwarebytes)
🤖Inteligencia Artificial
Microsoft, OpenAI y Nvidia se unen a la primera simulación de ataque cibernético de IA
La semana pasada, funcionarios federales, operadores de modelos de IA y empresas de ciberseguridad realizaron la primera simulación conjunta de un ciberataque que involucra un sistema de IA crítico. Esta simulación, realizada en las oficinas de Microsoft en Reston, Virginia, reunió a más de 50 expertos en IA del gobierno y el sector privado, incluyendo a Amazon Web Services, Nvidia, OpenAI y Palantir. Este ejercicio ayudará a CISA a desarrollar un manual de incidentes de seguridad de IA que se publicará a finales de año. (Axios)