29 jun. 2020

Ciberataque masivo a Australia utiliza exploits para el criptojacking

El Centro Australiano de Seguridad Cibernética (ACSC) dijo que un grupo de "actores estatales" hackearon redes australianas el 19 de junio y que una de las vulnerabilidades que explotaron está relacionada con los ataques de malware de criptojacking.

Según el informe de 48 páginas publicado el 24 de junio, los actores de la amenaza explotaron cuatro vulnerabilidades críticas en la interfaz de usuario de Telerik, incluyendo CVE-2019-18935, que recientemente fue aprovechada por la banda de malware Blue Mockingbird para infectar miles de sistemas con XMRRig, un software de minería de Monero.

Aunque el aviso no decía si los delincuentes podrían haber instalado malware de criptojacking durante el reciente ataque cibernético masivo, dicha vulnerabilidad es la preferida por los ciberdelincuentes para instalar aplicaciones de criptominería en las redes corporativas.

Otros exploits fueron identificadas por el ACSC. Entre ellas se incluían: un exploit que intentaba ejecutar un shell inverso de PowerShell; un exploit que intentaba ejecutar certutil.exe para descargar otro payload; otro archivo identificado como HTTPCore, previamente cargado por los actores pero que no tenía ningún mecanismo de persistencia; un payload que enumeraba archivos de la web y escribía un archivo en el raíz del sitio.

El título "copy-paste-compromises" se deriva del intento intensivo de explotación de prueba de concepto, shells y otras herramientas copiadas casi de manera idéntica de otra herramientas de código abierto. El actor ha sido identificado aprovechando una serie de vectores de acceso iniciales, siendo el más frecuente la explotación de la infraestructura pública, principalmente a través del uso de vulnerabilidades de ejecución remota de código en versiones no parcheadas de la interfaz de usuario de Telerik. Otras vulnerabilidades aprovechadas incluyen la explotación de una vulnerabilidad de deserialización en Microsoft Internet Information Services (IIS), una vulnerabilidad de SharePoint 2019 y la vulnerabilidad Citrix 2019.

Hay casi 10 grupos de hackers chinos, involucrados en actividades de espionaje y supuestamente tienen conexiones con el gobierno de China, tienen el malware PlugX entre sus armas, que fue uno de los malware identificados en el informe del gobierno australiano.

Algunos funcionarios australianos han sugerido que China podría estar detrás del ciberataque masivo, ya que los problemas diplomáticos han ido en aumento entre los dos países. Se dijo que el ataque podría haber ocurrido después de que Australia buscara una investigación sobre el origen del virus COVID-19, algo que no fue bien recibido por los funcionarios de la nación dragón, ya que lo consideraron una acusación "discriminatoria" y respondieron con represalias comerciales. contra el país oceánico.

Fuente: CoinTelegraph | ACSC

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!