Yaakov's Group | Ciberseguridad

Los certificados TLS/SSL durarán mucho menos desde mañana

Según el sitio www.redeszone.net hasta el  día de hoy comprar un certificado TLS/SSL que durara dos años era algo posible y normal. Sin embargo la cosa va a cambiar a partir de mañana. Hoy es el último día que vamos a poder realizar esto. Desde el 1 de septiembre de 2020 todos los certificados nuevos van a tener una validez máxima de 397 días. Esto es bastante menos que los 24 meses que podíamos disfrutar hasta ahora.

Los certificados TLS/SSL van a durar 13 meses

Como decimos, desde mañana 1 de septiembre todos los certificados TLS/SSL van a tener un periodo de validez de máximo 13 meses. Esto supone que más allá de esos 397 días tendríamos que renovarlo.

Los desarrolladores de navegadores web y sistemas operativos, como Apple, Microsoft, Firefox y Google, ya no considerarán válidos los certificados TLS/SSL de 2 años emitidos a partir del 1 de septiembre. A partir de esa fecha tendrán que tener una validez máxima de esos 397 días que hemos mencionado.

¿Qué significa esto? Si un usuario quiere tener un certificado que le sirva durante los próximos dos años tendría que apresurarse. Tendría que adquirir hoy mismo dicho certificado, ya que a partir de mañana todos los comprados únicamente serán válidos si tienen ese límite máximo.

Hay que tener en cuenta que el pistoletazo de salida lo dio Apple. Posteriormente otros le siguieron y apoyaron lo mismo. Los desarrolladores de navegadores han presionado para reducir esa validez de los certificados TLS/SSL.

Lógicamente el motivo detrás de esto es la seguridad. Mientras más tiempo dure un certificado, más riesgo de que un usuario no autorizado haga un mal uso de él. Esto lo pueden evitar, o al menos reducir el riesgo, si ese periodo de validez es menor.

Puntos positivos de reducir el periodo de validez

Como vemos, la seguridad es un factor que está detrás de esta reducción del tiempo de validez de los certificados TLS/SSL. Vamos a mostrar los puntos más destacados por parte de los desarrolladores:

  • Permite una mayor agilidad al eliminar gradualmente los certificados cuando se descubren vulnerabilidades en los algoritmos de cifrado.
  • Limita la exposición de un sitio web al estar comprometido, ya que las claves de cifrado privadas se cambiarían con regularidad. Si se roba un certificado TLS privado, una validez de un año limitará la cantidad de tiempo que un atacante podría usar.
  • Evita que los proveedores de alojamiento o terceros utilicen un certificado durante mucho tiempo después de que un dominio ya no se use o haya cambiado de proveedor.

Por otra parte, hay que indicar que los emisores de certificados rechazaban esta medida. Sin embargo Apple, de forma unilateral, decidió poner ese límite de 397 días a partir del 1 de septiembre de 2020. Es decir, a partir de mañana cambia el tema. Mozilla y Google se unieron a la propuesta de Apple.

Respecto a cómo afecta a los usuarios, aquellos que tengan ya un certificado con validez de más de un año no tienen que preocuparse. Únicamente afecta a los que se compren desde mañana.

Fuente: Red Zone

La fuga de datos de Telegram expone millones de registros en Darknet

La aplicación de mensajería cifrada Telegram sufrió una fuga masiva de datos que expuso los datos personales de millones de usuarios. Un rival de WhatsApp, Telegram permite a los clientes intercambiar de forma privada textos, llamadas, notas de voz y videos cifrados de extremo a extremo. Pero la vulnerabilidad en su función de importación de contactos comprometió millones de registros, incluidos números de teléfono e ID de usuario, que luego se filtraron a la red oscura.

La publicación rusa de tecnología Kod.ru fue la primera en informar sobre el problema, y ​​dijo que información personal como identidades de usuario y números de teléfono se han publicado en un foro de la red oscura. El tamaño del archivo de la base de datos es de unos 900 megabytes. Según los informes, el servicio de la aplicación de mensajería reconoció la existencia de una violación de datos, que ocurrió después de explotar la función de importación de contactos incorporada durante el registro.

Sin embargo, la compañía agregó que la mayoría de los registros están desactualizados, con el 84% de las entradas de datos recopiladas antes de mediados de 2019. Además, la mayoría de las cuentas de la base de datos contienen información irrelevante. Telegram también reveló que el 70% de las cuentas expuestas eran de Irán, mientras que el 30% restante pertenecía a usuarios de Rusia.

Un portavoz de la empresa le dijo a Cointelegraph que la vulnerabilidad de importación de contactos es motivo de preocupación para todas las aplicaciones de mensajería similares, incluida la competencia WhatsApp. “Desafortunadamente, cualquier aplicación basada en contactos enfrenta el desafío de usuarios malintencionados que intentan cargar muchos números de teléfono y crear bases de datos que los relacionen con las ID de usuario, como esta”, expresó el representante.

También agregaron que la base de datos solo contenía información sobre los números de teléfono de los usuarios y las ID de Telegram, sin datos como contraseñas, mensajes u otra información confidencial presente. El portavoz enfatizó que las cuentas no fueron violadas.

No es la primera fuga

La filtración de datos actual no es el primer rodeo de Telegram. En agosto de 2019, la compañía estaba en el centro de la controversia cuando un error expuso los números de teléfono de los activistas a favor de la democracia en Hong Kong. El problema técnico se encontró en la función de mensajería grupal de la aplicación, lo que permite a las autoridades chinas identificar y localizar a los manifestantes.

Aunque China prohibió Telegram en 2015, los partidarios de la democracia en Hong Kong lograron eludir las restricciones y usar la aplicación de mensajería. Telegram amigable con la privacidad es popular entre los manifestantes porque oculta las comunicaciones de los ojos intrusivos del gobierno chino. Sin embargo, resultó que el error puede explotar grupos públicos, exponiendo así los números de teléfono de los miembros, incluso si optaron por mantenerlos privados.

El director del capítulo de Hong Kong de Internet Society, Chu Ka-cheong, dijo que los números de teléfono siempre han sido un problema para Telegram porque los usa como identificadores. Otras plataformas de mensajería segura también hacen lo mismo. Pero admitió que se sorprendieron cuando descubrieron que la configuración de quién puede ver un número de teléfono en Nadie «aún permitía a los usuarios que guardaron su número de teléfono en la libreta de direcciones hacer coincidir los números de teléfono con los miembros del grupo público».

El director del capítulo de Hong Kong de Internet Society, Chu Ka-cheong, dijo que los números de teléfono siempre han sido un problema para Telegram porque los usa como identificadores. Otras plataformas de mensajería segura también hacen lo mismo. Pero admitió que se sorprendieron cuando descubrieron que la configuración de quién puede ver un número de teléfono en Nadie «aún permitía a los usuarios que guardaron su número de teléfono en la libreta de direcciones hacer coincidir los números de teléfono con los miembros del grupo público».

Como resultado de la fuga de datos, Telegram lanzó una nueva función en septiembre de 2019 que le permite mostrar su número de teléfono a nadie en absoluto. La nueva opción garantiza que «los usuarios aleatorios que agregan su número como contacto no puedan hacer coincidir su perfil con ese número».

Pero como muestra la última filtración, la sincronización e importación de contactos en Telegram sigue siendo un problema.

Varias fuentes en línea ofrecen consejos sobre cómo aumentar su privacidad, anonimato y seguridad en línea. Una VPN, por ejemplo, redirige su tráfico, cambia su dirección IP y cifra sus datos.

Fuente: latesthackingnews

Cisco advierte sobre un error activamente explotado en los routers de nivel de operador

Cisco advirtió durante el fin de semana que los actores de amenazas están tratando de explotar una vulnerabilidad de denegación de servicio (DoS) por agotamiento de la memoria de alta gravedad en el software Cisco IOS XR de la compañía que se ejecuta en enrutadores de nivel de operador.

El sistema operativo de red IOS XR de Cisco se implementa en múltiples plataformas de enrutadores, incluidos los enrutadores de las series NCS 540 y 560, NCS 5500, 8000 y ASR 9000.

Cisco aún no ha publicado actualizaciones de software para abordar esta falla de seguridad explotada activamente, pero la compañía proporciona una mitigación en un aviso de seguridad publicado durante el fin de semana.

«El 28 de agosto de 2020, el equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT) se dio cuenta del intento de explotación de esta vulnerabilidad en la naturaleza», explica Cisco.

«Para los productos afectados, Cisco recomienda implementar una mitigación que sea apropiada para el entorno del cliente».

Afecta a todos los routers Cisco IOS XR (si el enrutamiento de multidifusión está habilitado)

El error CVE-2020-3566 existe en la función del Protocolo de enrutamiento de multidifusión de vector de distancia (DVMRP) del software IOS XR y puede permitir que atacantes remotos y no autenticados agoten la memoria del dispositivo objetivo.

«La vulnerabilidad se debe a una gestión de cola insuficiente para los paquetes del Protocolo de gestión de grupos de Internet (IGMP)», explica el aviso de seguridad.

«Un atacante podría aprovechar esta vulnerabilidad enviando tráfico IGMP diseñado a un dispositivo afectado. Un ataque exitoso podría permitir que el atacante agotara la memoria, resultando en inestabilidad de otros procesos.

«Estos procesos pueden incluir, pero no se limitan a, protocolos de enrutamiento interior y exterior».

Según Cisco, la falla de seguridad rastreada como CVE-2020-3566 afecta a cualquier dispositivo Cisco que ejecute cualquier versión del software Cisco IOS XR si una de sus interfaces activas está configurada bajo enrutamiento de multidifusión.

Para determinar si el enrutamiento de multidifusión está habilitado en un dispositivo, los administradores pueden ejecutar el comando show igmp interface. Para los enrutadores IOS XR donde el enrutamiento de multidifusión no está habilitado, la salida estará vacía y los dispositivos no se verán afectados por CVE-2020-3566.

En los dispositivos en los que se utilizó esta vulnerabilidad para agotar la memoria, los administradores pueden ver mensajes de registro del sistema similares a los de la captura de pantalla incluida a continuación.

IOCs

Medidas de atenuación

Cisco dice que los administradores pueden tomar medidas para eliminar parcial o totalmente las amenazas de vectores de exploits que los actores podrían usar en ataques dirigidos a dispositivos vulnerables a exploits CVE-2020-3566.

Los administradores pueden implementar la limitación de velocidad para reducir las tasas de tráfico IGMP y aumentar el tiempo necesario para aprovechar con éxito CVE-2020-3566, tiempo que se puede utilizar para la recuperación.

Los clientes también pueden «implementar una entrada de control de acceso (ACE) a una lista de control de acceso (ACL) de interfaz existente» o una nueva ACL para denegar el tráfico DVRMP entrante a interfaces con enrutamiento de multidifusión habilitado.

Cisco recomienda deshabilitar el enrutamiento IGMP en interfaces donde no es necesario procesar el tráfico IGMP ingresando al modo de configuración del enrutador IGMP.

Esto se puede hacer emitiendo el comando router igmp, seleccionando la interfaz usando la interfaz y deshabilitando el enrutamiento IGMP usando la desactivación del enrutador.

El mes pasado, Cisco solucionó otra vulnerabilidad de alta gravedad y explotó activamente la ruta transversal de solo lectura rastreada como CVE-2020-3452 y que afectó la interfaz de servicios web del software Cisco Adaptive Security Appliance (ASA) y el software Cisco Firepower Threat Defense (FTD).

Una semana antes, la compañía emitió otro conjunto de actualizaciones de seguridad para abordar la ejecución de código remoto crítico (RCE) previo a la autenticación, la omisión de autenticación y las vulnerabilidades de credenciales predeterminadas estáticas que afectan a múltiples dispositivos de firewall y enrutadores que podrían llevar a la toma de control total del dispositivo.

Fuente: bleepingcomputer

Man-in-the-Middle Attack Makes PINs Useless for VISA Cards

El protocolo EMV es vulnerable a un ataque man-in-the-middle
Todas las tarjetas de crédito VISA se ven afectadas
VISA tiene que emitir actualización para terminales POS

Los investigadores de seguridad suizos han descubierto una forma de evitar la autenticación con PIN para las transacciones sin contacto de Visa. Un error en los protocolos de comunicación permite a los atacantes montar un ataque man-in-the-middle sin ingresar el código PIN.

EMV es el protocolo utilizado por los principales bancos e instituciones financieras del mundo. Europay, Mastercard y Visa desarrollaron el estándar y existe desde hace más de 20 años. Es lógico que EMV sea uno de los protocolos de comunicación más examinados, pero la investigación suiza muestra que cualquier software o hardware puede tener vulnerabilidades.

La razón más importante para la adopción generalizada del protocolo EMV tiene que ver con el «cambio de responsabilidad», un procedimiento que garantiza que, siempre que el cliente apruebe la transacción con un PIN o una firma, la institución financiera no es responsable.

Los investigadores utilizaron una aplicación llamada Tamarin, desarrollada explícitamente para probar la seguridad de los protocolos de comunicación. Crearon un modelo de trabajo que cubre todos los roles en una sesión EMV regular: el banco, la tarjeta y el terminal.

“Utilizando nuestro modelo, identificamos una violación crítica de las propiedades de autenticación por el protocolo sin contacto de Visa: el método de verificación del titular de la tarjeta utilizado en una transacción, si lo hay, no está autenticado ni protegido criptográficamente contra modificaciones”, dicen los investigadores en su artículo.

«Desarrollamos una aplicación de Android de prueba de concepto que aprovecha esto para eludir la verificación del PIN mediante el montaje de un ataque de intermediario que indica al terminal que la verificación del PIN no es necesaria porque la verificación del titular de la tarjeta se realizó en el dispositivo del consumidor, » ellos continuaron.

Los delincuentes pueden usar una tarjeta VISA robada y pagar bienes sin acceso al PIN, lo que hace que el PIN sea completamente inútil. Un escenario del mundo real probó las tarjetas Visa Credit, Visa Electron y VPay, y tuvo éxito. Por supuesto, el ataque utilizó una billetera virtual en lugar de una tarjeta, ya que el terminal no puede distinguir entre una tarjeta de crédito real y un teléfono inteligente.

Los investigadores descubrieron otro problema que afectaba a VISA y algunos modelos más antiguos de tarjetas Martercard, además del problema inicial.

“La tarjeta no autentica en el terminal el criptograma de aplicación (AC), que es una prueba criptográfica de la transacción producida por la tarjeta que el terminal no puede verificar (solo el emisor de la tarjeta puede hacerlo)”, dicen los investigadores. «Esto permite a los delincuentes engañar al terminal para que acepte una transacción fuera de línea no auténtica».

La única buena noticia entregada por los investigadores es que la solución no requiere una actualización para el estándar EMV, solo actualizaciones para el terminal. Dado que hay alrededor de 161 millones de terminales POS en todo el mundo, el proceso de actualización será largo.

Fuente: Hot For Security

Ex empleado admite piratería informática y daños a los sistemas Cisco

Un ex empleado de Cisco se declaró culpable de los cargos de piratería relacionados con su acceso a los sistemas del gigante de las redes y causando daños.

Según el Departamento de Justicia de EE. UU., Sudhish Kasaba Ramesh, de 30 años, trabajó para Cisco hasta abril de 2018. Unos meses después de que renunció a la empresa, obtuvo acceso no autorizado a la infraestructura de nube de AWS de Cisco e implementó un código que provocó más de 450 máquinas virtuales asociado con la aplicación Cisco Webex Teams que se eliminará.

La eliminación de las máquinas virtuales resultó en el cierre de más de 16.000 cuentas de Webex Teams durante un máximo de dos semanas. Cisco gastó aproximadamente $ 1.4 millones en tiempo de los empleados para responder al incidente y tuvo que reembolsar más de $ 1 millón a los clientes afectados, dijeron las autoridades.

No hubo indicios de que los datos del cliente se vieran comprometidos como resultado del incidente. No se ha compartido información sobre los motivos del hombre.

En el momento del incidente, muchos usuarios de Webex se quejaron de la interrupción, pero Cisco no proporcionó ninguna información sobre su causa y no había indicios de que fuera el resultado de una actividad externa.

Ramesh fue acusado de un cargo de acceder intencionalmente a una computadora protegida sin autorización y causar daños imprudentemente. Se declaró culpable y su sentencia será sentenciada en diciembre. Ha sido puesto en libertad con una fianza de 50.000 dólares.

Ramesh tiene su sede en San José, California, pero los documentos judiciales muestran que el hombre es de la India y se encuentra en los Estados Unidos con una visa de trabajo H1-B. Podría ser deportado como resultado de sus acciones, pero los documentos judiciales afirman que su empleador actual, el servicio de estilismo personal en línea Stitch Fix, “está dispuesto a trabajar con él con respecto a la posibilidad de que permanezca en el país y continúe trabajando para la empresa. »

Fuente: Security week

Cisco lanza actualizaciones de seguridad

Cisco ha publicado actualizaciones de seguridad para abordar las vulnerabilidades de los productos Cisco. Un atacante podría aprovechar algunas de estas vulnerabilidades para tomar el control de un sistema afectado. Para obtener actualizaciones que abordan vulnerabilidades de menor gravedad, consulte la pagina Cisco Security Advisories

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) alienta a los usuarios y administradores a revisar los siguientes avisos de Cisco y aplicar las actualizaciones necesarias:

Fuente: CISA

Google lanza actualizaciones de seguridad para Chrome

Google ha lanzado la versión 85.0.4183.83 de Chrome para Windows, Mac y Linux. Esta versión corrige las vulnerabilidades que un atacante podría aprovechar para tomar el control de un sistema afectado.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) alienta a los usuarios y administradores a revisar la versión de Chrome y aplicar las actualizaciones necesarias.

Fuente: CISA

Alerta (AA20-239A)

FASTCash 2.0: BeagleBoyz de Corea del Norte robando bancos

Esta asesoría conjunta es el resultado de los esfuerzos analíticos entre la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el Departamento del Tesoro (Tesoro), la Oficina Federal de Investigaciones (FBI) y el Comando Cibernético de los Estados Unidos (USCYBERCOM). Trabajando con socios del gobierno de EE. UU., CISA, el Tesoro, el FBI y USCYBERCOM identificaron malware e indicadores de compromiso (IOC) utilizados por el gobierno de Corea del Norte en un esquema de retiro de efectivo de cajeros automáticos (ATM), al que el gobierno de EE. UU. Se refiere como » FASTCash 2.0: BeagleBoyz de Corea del Norte robando bancos «.

CISA, Tesoro, FBI y USCYBERCOM destacan la amenaza cibernética que representa Corea del Norte, conocida formalmente como República Popular Democrática de Corea (RPDC), y brindan pasos recomendados para mitigar la amenaza.

Consulte los siguientes informes de análisis de malware para los IOC asociados: CROWDEDFLOUNDER, ECCENTRICBANDWAGON, ELECTRICFISH, FASTCash para Windows, HOPLIGHT y VIVACIOUSGIFT.

Detalles técnicos

El aparato de inteligencia de Corea del Norte controla un equipo de piratería dedicado a robar bancos a través del acceso remoto a Internet. Para diferenciar los métodos de otras actividades cibernéticas maliciosas de Corea del Norte, el gobierno de los EE. UU. Se refiere a este equipo como BeagleBoyz, que representa un subconjunto de la actividad COBRA OCULTA. Los BeagleBoyz se superponen en diversos grados con grupos rastreados por la industria de la ciberseguridad como Lazarus, Advanced Persistent Threat 38 (APT38), Bluenoroff y Stardust Chollima y son responsables de los retiros de efectivo de los cajeros automáticos FASTCash reportados en octubre de 2018, abuso fraudulento de bancos comprometidos Puntos finales del sistema SWIFT desde al menos 2015 y lucrativos robos de criptomonedas. Este comportamiento ilícito ha sido identificado por el Panel de Expertos de la RPDC de las Naciones Unidas (ONU) como una evasión de las resoluciones del Consejo de Seguridad de la ONU, ya que genera ingresos sustanciales para Corea del Norte. Corea del Norte puede utilizar estos fondos para sus programas de misiles balísticos y armas nucleares prohibidos por la ONU. Además, esta actividad presenta un riesgo operativo significativo para el sector de servicios financieros y erosiona la integridad del sistema financiero.

Los robos bancarios de BeagleBoyz plantean un grave riesgo operativo para las empresas individuales más allá del daño a la reputación y la pérdida financiera por robo y costos de recuperación. Los BeagleBoyz han intentado robar casi $ 2 mil millones desde al menos 2015, según estimaciones públicas. Igualmente preocupante, estos actores maliciosos han manipulado y, en ocasiones, han dejado inoperables sistemas informáticos críticos en bancos y otras instituciones financieras.

En 2018, un banco en África no pudo reanudar los servicios normales de cajeros automáticos o puntos de venta para sus clientes durante casi dos meses después de un intento de incidente de FASTCash.
El BeagleBoyz a menudo coloca herramientas destructivas anti-forenses en las redes informáticas de las instituciones víctimas. Además, en 2018, implementaron malware de limpiaparabrisas contra un banco en Chile que colapsó miles de computadoras y servidores para distraer la atención de los esfuerzos por enviar mensajes fraudulentos desde la terminal SWIFT comprometida del banco.
El esquema generalizado de robo de bancos internacional de Corea del Norte que explota los sistemas bancarios críticos puede erosionar la confianza en esos sistemas y presenta riesgos para las instituciones financieras de todo el mundo. Cualquier robo de BeagleBoyz dirigido a un banco implica a muchas otras empresas de servicios financieros tanto en el robo como en el flujo de fondos ilícitos de regreso a Corea del Norte. La actividad de BeagleBoyz se ajusta al patrón conocido de Corea del Norte de abusar del sistema financiero internacional con fines de lucro.

Los retiros de efectivo fraudulentos en cajeros automáticos han afectado a más de 30 países en un solo incidente. Los conspiradores han retirado efectivo de los cajeros automáticos operados por varios bancos involuntarios en varios países, incluso en los Estados Unidos.
Los BeagleBoyz también utilizan bancos involuntarios, incluidos bancos en los Estados Unidos, para su esquema de fraude SWIFT. Estos bancos son custodios de cuentas que pertenecen a los bancos víctimas o, sin saberlo, sirven como intermediarios del fraude. Más infamemente, el BeagleBoyz robó $ 81 millones del Banco de Bangladesh en 2016. El Banco de la Reserva Federal de Nueva York detuvo el resto de este intento de robo de $ 1 mil millones después de detectar anomalías en las instrucciones de transferencia que habían recibido.

Actualización FASTCash

Los BeagleBoyz de Corea del Norte son responsables de las sofisticadas campañas de retiro de efectivo en cajeros automáticos habilitadas para cibernética identificadas públicamente como «FASTCash» en octubre de 2018. Desde 2016, BeagleBoyz ha perpetrado el esquema FASTCash, dirigido a la infraestructura del sistema de pago minorista de los bancos (es decir, cambiar los servidores de aplicaciones procesamiento de mensajes de la Organización Internacional de Normalización [ISO] 8583, que es el estándar para la mensajería de transacciones financieras).

Desde la publicación del en octubre de 2018, ha habido dos desarrollos particularmente significativos en la campaña: (1) la capacidad de llevar a cabo el esquema FASTCash contra los bancos que alojan sus aplicaciones de cambio en servidores Windows, y (2) una expansión de la campaña FASTCash para apuntar a procesadores de pagos interbancarios.

En octubre de 2018, el gobierno de los EE. UU. Identificó el malware utilizado en el esquema FASTCash que tiene la capacidad de manipular los servidores AIX que ejecutan la aplicación de cambio de un banco para interceptar mensajes de solicitud financiera y responder con mensajes de respuesta afirmativa fraudulentos, pero de apariencia legítima, para permitir una gran cantidad de efectivo en cajeros automáticos. salidas. Desde entonces, el gobierno de EE. UU. Ha identificado malware funcionalmente equivalente para el sistema operativo Windows. Consulte la sección Análisis técnico a continuación para obtener más información sobre el malware ISO 8583 para Windows.
El BeagleBoyz inicialmente apuntó a aplicaciones de cambio en bancos individuales con malware FASTCash pero, más recientemente, se ha dirigido al menos a dos procesadores de pagos interbancarios regionales. Esto sugiere que BeagleBoyz está explorando oportunidades ascendentes en el ecosistema de pagos.

Perfil BEAGLEBOYZ

El BeagleBoyz, un elemento de la Oficina General de Reconocimiento del gobierno de Corea del Norte, probablemente ha estado activo desde al menos 2014. A diferencia del delito cibernético típico, es probable que el grupo lleve a cabo operaciones cibernéticas bien planificadas, disciplinadas y metódicas más parecidas a actividades de espionaje cuidadosas. Sus operaciones cibernéticas maliciosas han generado cientos de millones de dólares estadounidenses y probablemente sean una fuente importante de financiamiento para el régimen de Corea del Norte. El grupo siempre ha utilizado un enfoque calculado, que les permite afinar sus tácticas, técnicas y procedimientos mientras eluden la detección. Con el tiempo, sus operaciones se han vuelto cada vez más complejas y destructivas. Las herramientas y los implantes empleados por este grupo son consistentemente complejos y demuestran un fuerte enfoque en la eficacia y la seguridad operativa.

Identificadores de comunidad

El BeagleBoyz se superpone en diversos grados con grupos rastreados por la industria de la ciberseguridad como: APT38 (FireEye), Bluenoroff (Kaspersky), Lazarus Group (ESTSecurity) y Stardust Chollima (CrowdStrike).

Anatomía de un atraco al banco BeagleBoyz

La Figura 2 proporciona una representación gráfica de un atraco a un banco BeagleBoyz. La siguiente sección describe en detalle las acciones de extremo a extremo que toma BeagleBoyz para robar instituciones financieras con una operación cibernética maliciosa.

Análisis técnico

BeagleBoyz utiliza una variedad de herramientas y técnicas para obtener acceso a la red de una institución financiera, aprender la topología para descubrir sistemas clave y monetizar su acceso. El análisis técnico a continuación representa una amalgama de múltiples incidentes conocidos, en lugar de detalles de una sola operación. Estos hallazgos se presentan para resaltar la capacidad del grupo para adaptar sus técnicas a diferentes objetivos y adaptar sus métodos a lo largo del tiempo. En consecuencia, existe una necesidad de mitigaciones en capas para defenderse de manera efectiva contra esta actividad, ya que depender únicamente de la detección de firmas de red no protegerá suficientemente contra el BeagleBoyz de Corea del Norte.

Acceso inicial

Los BeagleBoyz han utilizado una variedad de técnicas, como el spearphishing y los abrevaderos, para permitir el acceso inicial a las instituciones financieras específicas. Hacia fines de 2018 hasta 2019 y principios de 2020, BeagleBoyz demostró el uso de tácticas de ingeniería social al llevar a cabo ataques de phishing temáticos de aplicaciones de empleo utilizando los siguientes archivos maliciosos disponibles públicamente.

El BeagleBoyz también puede estar trabajando o contratando a grupos de piratería criminal, como TA505, para el desarrollo del acceso inicial. El tercero generalmente usa malware básico para establecer el acceso inicial en la red de la víctima y luego cede el acceso al BeagleBoyz para su explotación posterior, lo que puede no ocurrir hasta meses después.

Los BeagleBoyz también han utilizado las siguientes técnicas para obtener un punto de apoyo inicial en una red informática específica (Acceso inicial [TA0001]).

Envíe por correo electrónico un archivo adjunto con software malicioso a una persona, empresa o industria específica (Phishing: Archivo adjunto de phishing [T1566.001])
Poner en peligro un sitio web visitado por usuarios en comunidades, industrias o regiones específicas (Compromiso de conducción [T1189])
Aprovechar una debilidad (un error, falla o vulnerabilidad de diseño) en un sistema informático orientado a Internet (como una base de datos o un servidor web) (Exploit Public Facing Application [T1190])
Robar las credenciales de un usuario específico o cuenta de servicio para evitar los controles de acceso y obtener mayores privilegios (Cuentas válidas [T1078])
Infringir organizaciones que tienen acceso a la organización de la víctima prevista y explotar su relación de confianza (Relación de confianza [T1199])
Utilizar servicios remotos para acceder inicialmente y permanecer dentro de la red de una víctima (Servicios remotos externos [T1133])

Ejecución

El BeagleBoyz explota selectivamente los sistemas informáticos de las víctimas después de comprometer inicialmente una computadora conectada a la red corporativa de una institución financiera. Después de obtener acceso inicial a la red corporativa de una institución financiera, los BeagleBoyz son selectivos en qué sistemas de víctimas explotan aún más. BeagleBoyz utiliza una variedad de técnicas para ejecutar su código en sistemas de víctimas locales y remotos [Ejecución [TA0002]).

Utilice interfaces de línea de comandos para interactuar con los sistemas y ejecutar otro software (Command and Scripting Interpreter [T1059])
Utilice scripts (p. Ej., VBScript y PowerShell) para acelerar las tareas operativas, reducir el tiempo necesario para obtener acceso a recursos críticos y evitar los mecanismos de supervisión de procesos al interactuar directamente con el sistema operativo (SO) en un nivel de interfaz de programación de aplicaciones (API) en lugar de llamar a otros programas (intérprete de comandos y secuencias de comandos: PowerShell [T1059.001], intérprete de comandos y secuencias de comandos: Visual Basic [T1059.005])
Confíe en acciones específicas del usuario, como abrir un archivo adjunto de correo electrónico malicioso (ejecución del usuario [T1204])
Aprovechar las vulnerabilidades del software para ejecutar código en un sistema (Explotación para la ejecución del cliente [T1203])
Cree nuevos servicios o modifique los servicios existentes para ejecutar ejecutables, comandos o scripts (Servicios del sistema: Ejecución de servicios [T1569.002])
Emplear el cargador de módulos de Windows para cargar bibliotecas de vínculos dinámicos (DLL) desde rutas locales arbitrarias o rutas de red arbitrarias de la Convención de nomenclatura universal (UNC) y ejecutar código arbitrario en un sistema (módulos compartidos [T1129])
Utilice la API de Windows para ejecutar código arbitrario en el sistema de la víctima (API nativa [T1106])
Utilice la interfaz gráfica de usuario (GUI) de un sistema para buscar información y ejecutar archivos (Servicios remotos [T1021])
Utilice el Programador de tareas para ejecutar programas al inicio del sistema o de forma programada para la persistencia, realizar la ejecución remota para el movimiento lateral, obtener privilegios del SISTEMA para la escalada de privilegios o ejecutar un proceso en el contexto de una cuenta específica (Tarea / Trabajo programado [T1053 ])
Abuso de archivos compilados de lenguaje de marcado de hipertexto (HTML) (.chm), comúnmente distribuidos como parte del sistema de ayuda HTML de Microsoft, para ocultar código malicioso (Ejecución de proxy binario firmado: archivo HTML compilado [T1218.001])
Abusar de Windows rundll32.exe para ejecutar binarios, scripts y archivos de elementos del panel de control (.CPL) y ejecutar código a través de proxy para evitar activar herramientas de seguridad (Ejecución de proxy binario firmado: Rundl32 [T1218.001])
Explote cron en Linux y ejecute en sistemas macOS para crear trabajos en segundo plano preprogramados y periódicos (Tarea / Trabajo programado: Cron [T1053.003], Tarea / Trabajo programado: Lanzado [T1053.004])

Persistencia

BeagleBoyz usa muchas técnicas para mantener el acceso en redes comprometidas mediante reinicios del sistema, cambio de credenciales y otras interrupciones que podrían afectar su acceso (Persistencia [TA0003]).

Agregue una entrada a las «claves de ejecución» en el Registro o un ejecutable a la carpeta de inicio para ejecutar malware cuando el usuario inicia sesión en el contexto de los niveles de permisos asociados del usuario (Ejecución de inicio automático de inicio o inicio de sesión: claves de ejecución del registro / carpeta de inicio [ T1547.001])
Instale un nuevo servicio que pueda configurarse para ejecutarse al inicio utilizando utilidades para interactuar con los servicios o modificando directamente el Registro (Crear o modificar el proceso del sistema: Servicio de Windows [T1543.003])
Comprometer un servidor web de acceso abierto con un script web (conocido como shell web) para usar el servidor web como una puerta de enlace a una red y servir como mecanismo de persistencia o acceso redundante (Componente de software del servidor: Shell web [T1505.003])
Manipular cuentas (p. Ej., Modificar permisos, modificar credenciales, agregar o cambiar grupos de permisos, modificar la configuración de la cuenta o modificar la forma en que se realiza la autenticación) para mantener el acceso a las credenciales y ciertos niveles de permisos dentro de un entorno (Manipulación de cuentas [T1098])
Robar las credenciales de un usuario específico o cuenta de servicio para evitar los controles de acceso y retener el acceso a sistemas remotos y servicios disponibles externamente (cuentas válidas [T1078])
Utilice el Programador de tareas para ejecutar programas al inicio del sistema o de forma programada para la persistencia, realizar la ejecución remota para el movimiento lateral, obtener privilegios del SISTEMA para la escalada de privilegios o ejecutar un proceso en el contexto de una cuenta específica (Tarea / Trabajo programado [T1053 ])
Abusar del orden de búsqueda de las DLL de Windows y de los programas que especifican de manera ambigua las DLL para obtener una escalada y persistencia de privilegios (Flujo de ejecución de secuestro: Secuestro de órdenes de búsqueda de DLL [T1056.004])
Explote el enlace para cargar y ejecutar código malicioso dentro del contexto de otro proceso para enmascarar la ejecución, permitir el acceso a la memoria del proceso y, posiblemente, obtener privilegios elevados (Captura de entrada: Enlace de API de credenciales [T1574.001])
Usar servicios remotos para persistir dentro de la red de una víctima (Servicios remotos externos [T1133])

Escalada de privilegios

BeagleBoyz a menudo busca acceso a los sistemas de las instituciones financieras que tienen cuentas de usuario y de sistema escalonadas con privilegios personalizados. BeagleBoyz debe superar estas restricciones para acceder a los sistemas necesarios, monitorear el comportamiento normal del usuario e instalar y ejecutar herramientas maliciosas adicionales. Para hacerlo, BeagleBoyz ha utilizado las siguientes técnicas para obtener permisos de nivel superior en un sistema o red (Privilege Escalation [TA0004]).

Inyecte código en los procesos para evadir las defensas basadas en procesos y elevar los privilegios (Process Injection [T1055])
Instale un nuevo servicio que pueda configurarse para ejecutarse al inicio utilizando utilidades para interactuar con los servicios o modificando directamente el Registro (Crear o modificar el proceso del sistema: Servicio de Windows [T1543.003])
Comprometer un servidor web de acceso abierto con shell web para usar el servidor web como puerta de enlace a una red (Componente de software del servidor: Shell web [T1505.003])
Use el Programador de tareas para ejecutar programas al inicio del sistema o de manera programada para la persistencia, realizar la ejecución remota como parte del movimiento lateral, obtener privilegios del SISTEMA para la escalada de privilegios o ejecutar un proceso en el contexto de una cuenta específica (Tarea / Trabajo programado [T1053])
Robar las credenciales de un usuario específico o cuenta de servicio para evitar los controles de acceso y otorgar mayores privilegios (Cuentas válidas [T1078])
Explote el enlace para cargar y ejecutar código malicioso dentro del contexto de otro proceso para enmascarar la ejecución, permitir el acceso a la memoria del proceso y, posiblemente, obtener privilegios elevados (Captura de entrada: Enlace de API de credenciales [T1574.001])
Realice el almacenamiento en caché de Sudo (a veces denominado «superusuario») o utilice el archivo Soudoers para elevar los privilegios en los sistemas Linux y macOS (Mecanismo de control de elevación de abuso: almacenamiento en caché de Sudo y Sudo [T1548.003])
Ejecute cargas útiles maliciosas secuestrando el orden de búsqueda utilizado para cargar DLL (Flujo de ejecución de secuestro: Secuestro de órdenes de búsqueda de DLL [T1574.001])

Evasión de defensa

A lo largo de su explotación de la red informática de una institución financiera, los BeagleBoyz han utilizado diferentes técnicas para evitar ser detectados por las características de seguridad del sistema operativo, el software de seguridad del sistema y de la red y las auditorías del sistema (Defense Evasion [TA0005]).

Explote los certificados de firma de código para enmascarar el malware y las herramientas como binarios legítimos y eludir las políticas de seguridad que permiten que solo se ejecuten los binarios firmados en un sistema (Subvert Trust Controls Signing [T1553.002])
Elimine malware, herramientas u otros archivos no nativos caídos o creados durante una intrusión para reducir su huella o como parte del proceso de limpieza posterior a la intrusión (Eliminación del indicador en el host: Eliminación de archivos [T1070.004])
Inyecte código en los procesos para evadir las defensas basadas en procesos (Process Injection [T1055])
Utilice scripts (como VBScript y PowerShell) para evitar los mecanismos de supervisión de procesos al interactuar directamente con el sistema operativo a nivel de API en lugar de llamar a otros programas (Command and Scripting Interpreter: PowerShell [T1059.001], Command and Scripting Interpreter: Visual Basic [ T1059.005])
Intente hacer que un archivo ejecutable o un archivo sea difícil de descubrir o analizar cifrando, codificando u ocultando su contenido en el sistema o en tránsito (Archivos o información ofuscados [T1027])
Utilice servicios web externos previamente comprometidos para transmitir comandos a un sistema de la víctima (Servicio web [T1102])
Utilice el empaquetado de software para cambiar la firma del archivo, omitir la detección basada en firmas y descomprimir el código ejecutable en la memoria (Credenciales no seguras: claves privadas [T1552.004])
Utilice archivos o información ofuscados para ocultar los artefactos de intrusión (Desofuscar / Decodificar archivos o información [T1140])
Modifique las marcas de tiempo de los datos (los campos de modificación, acceso, creación y cambio de horas) para imitar los archivos que se encuentran en la misma carpeta, haciendo que parezcan discretos para los analistas forenses o las herramientas de análisis de archivos (Eliminación del indicador en el host: Eliminar marca de tiempo [T1070.006 ])
Abusar de las utilidades de Windows para implementar comandos de ejecución arbitrarios y subvertir los controles de detección y mitigación (como la política de grupo) que limitan o impiden el uso de cmd.exe o extensiones de archivo comúnmente asociadas con cargas útiles maliciosas (ejecución de comando indirecto [T1202])
Utilice varios métodos para evitar que sus comandos aparezcan en los registros y borre el historial de comandos para eliminar los rastros de actividad (Eliminación del indicador en el host: Borrar el historial de comandos [T1070.003])
Desactive las herramientas de seguridad para evitar la posible detección de herramientas y eventos (Impedir defensas: Desactivar o modificar herramientas [T1562.001])
Robar las credenciales de un usuario específico o cuenta de servicio para evitar los controles de acceso y otorgar mayores privilegios (Cuentas válidas [T1078])
Elimine o modifique los artefactos generados en un sistema host, incluidos los registros y los archivos potencialmente capturados, para eliminar los rastros de actividad (Eliminación del indicador en el host: Eliminación de archivos [T1070.004])
Abusar de archivos HTML compilados (.chm), comúnmente distribuidos como parte del sistema de ayuda HTML de Microsoft, para ocultar código malicioso (Ejecución de proxy binario firmado: archivo HTML compilado [T1218.001])
Anteponer un espacio a todos los comandos de su terminal para operar sin dejar rastros en el entorno HISTCONTROL, que está configurado para ignorar los comandos que comienzan con un espacio (Defensas de deterioro: HISTCONTROL [T1562.003])
Modifique el malware para que tenga una firma diferente y reutilícelo en los casos en que el grupo determine que fue puesto en cuarentena (Archivos o información ofuscados: Eliminación del indicador de herramientas [T1027.005])
Intente bloquear indicadores o eventos capturados normalmente por sensores para que no se recopilen y analicen (Defensas de deterioro: Bloqueo de indicadores [T1562.006])
Utilice el orden de búsqueda de las DLL de Windows y los programas que especifican de manera ambigua las DLL para obtener una escalada y persistencia de privilegios (Flujo de ejecución de secuestro: Secuestro de órdenes de búsqueda de DLL [T1574.001])
Manipular o abusar de los atributos o la ubicación de un ejecutable (enmascaramiento) para integrarse mejor con el entorno y aumentar las posibilidades de engañar a un analista o producto de seguridad (enmascaramiento [T1036])
Explotar rootkits para ocultar programas, archivos, conexiones de red, servicios, controladores y otros componentes del sistema (Rootkit [T1014])
Abusar de Windows rundll32.exe para ejecutar binarios, scripts y archivos .CPL, y ejecutar código a través de proxy para evitar activar herramientas de seguridad (Ejecución de proxy binario firmado: Rundl32 [T1218.001])

Acceso a credenciales

BeagleBoyz puede utilizar malware como ECCENTRICBANDWAGON para registrar pulsaciones de teclas y realizar capturas de pantalla. El gobierno de EE. UU. Ha identificado algunas muestras de ECCENTRICBANDWAGON que tienen la capacidad de cifrar RC4 datos registrados, pero la herramienta no tiene funcionalidad de red. El implante utiliza un formato específico para los datos registrados y guarda el archivo localmente; otra herramienta obtiene los datos registrados. El implante tampoco contiene ningún mecanismo de persistencia o autocarga y espera que un archivo de configuración específico esté presente en el sistema. Un informe técnico completo para ECCENTRICBANDWAGON está disponible en https://us-cert.cisa.gov/northkorea.

Es posible que BeagleBoyz no siempre necesite usar registradores de teclas personalizados como ECCENTRICBANDWAGON u otras herramientas para obtener credenciales de un sistema comprometido. Dependiendo del entorno de la víctima, BeagleBoyz ha utilizado las siguientes técnicas para robar credenciales (Credential Access [TA0006]).

Capture la entrada del usuario, como el registro de teclas (el tipo más común de captura de entrada), para obtener credenciales para cuentas válidas y recopilación de información (captura de entrada [T1056])
Obtenga información de inicio de sesión y contraseña de la cuenta, generalmente en forma de un hash o una contraseña de texto sin cifrar, del sistema operativo y el software (OS Credential Dumping [T1056])
Reúna claves privadas de sistemas comprometidos para autenticarse en servicios remotos o descifrar otros archivos recopilados (Credenciales no aseguradas: claves privadas [T1552.004])
Manipule cuentas predeterminadas, de dominio, locales y en la nube para mantener el acceso a las credenciales y ciertos niveles de permisos dentro de un entorno (Manipulación de cuentas [T1098])
Abusar del enlace para cargar y ejecutar código malicioso dentro del contexto de otro proceso para enmascarar la ejecución, permitir el acceso a la memoria del proceso y, posiblemente, obtener privilegios elevados (Captura de entrada: Enlace de API de credenciales [T1056.004])
Utilice técnicas de fuerza bruta para intentar acceder a la cuenta cuando se desconozcan las contraseñas o cuando los hashes de contraseña no estén disponibles (Fuerza bruta [T1110])

Descubrimiento

Una vez dentro de la red de una institución financiera, el BeagleBoyz parece buscar dos sistemas específicos: el terminal SWIFT y el servidor que aloja la aplicación de cambio de pago de la institución. A medida que avanzan a través de una red, aprenden sobre los sistemas a los que han accedido para mapear la red y obtener acceso a los dos sistemas de objetivos. Para ello, BeagleBoyz ha utilizado las siguientes técnicas para adquirir conocimientos sobre los sistemas y la red interna (Discovery [TA0007]).

Intente obtener información detallada sobre el sistema operativo y el hardware, como la versión, los parches, las revisiones, los paquetes de servicio y la arquitectura (Descubrimiento de información del sistema [T1082])
Enumere archivos y directorios o busque en ubicaciones específicas de un host o un recurso compartido de red para obtener información particular dentro de un sistema de archivos (Detección de archivos y directorios [T1083])
Obtenga una lista de software de seguridad, configuraciones, herramientas defensivas y sensores instalados en el sistema (Detección de software: Detección de software de seguridad [T1518.001])
Obtener información sobre los procesos en ejecución en un sistema para comprender el software estándar que se ejecuta en sistemas de red (Descubrimiento de procesos [T1057])
Identificar los usuarios principales, los usuarios que han iniciado sesión actualmente, los conjuntos de usuarios que suelen utilizar un sistema o los usuarios activos o inactivos (Detección de usuarios / propietarios del sistema [T1033])
Enumere los marcadores del navegador para obtener más información sobre los hosts comprometidos, revelar información personal sobre los usuarios y exponer detalles sobre los recursos de la red interna (Detección de marcadores del navegador [T1217])
Busque información sobre la configuración de la red y la configuración del sistema en los sistemas comprometidos, o realice un descubrimiento de sistema remoto (Descubrimiento de la configuración de la red del sistema [T1016])
Interactúe con el Registro de Windows para recopilar información sobre el sistema, la configuración y el software instalado (Registro de consultas [T1012])
Obtenga una lista de las ventanas de aplicaciones abiertas para aprender cómo se usa el sistema o dar contexto a los datos recopilados (Descubrimiento de ventanas de aplicaciones [T1010])
Intente obtener una lista de las cuentas de dominio o sistema local en el sistema comprometido (Detección de cuentas [T1087])
Obtenga una lista de conexiones de red hacia y desde el sistema comprometido o el sistema remoto consultando información a través de la red (Descubrimiento de conexiones de red del sistema [T1049])

Movimiento lateral

Para acceder a la terminal SWIFT de una institución financiera comprometida y al servidor que aloja la aplicación de cambio de pago de la institución, BeagleBoyz aprovecha las credenciales recolectadas y aprovecha la accesibilidad de estos sistemas críticos desde otros sistemas en la red corporativa de la institución. Específicamente, se sabe que BeagleBoyz crea exenciones de firewall en puertos específicos, incluidos los puertos 443, 6443, 8443 y 9443. Dependiendo de la configuración de los sistemas comprometidos y el entorno de seguridad de la red informática de la víctima, BeagleBoyz ha utilizado las siguientes técnicas para ingresar y controlar sistemas remotos en una red comprometida (Movimiento Lateral [TA0008]).

Copie archivos de un sistema a otro para preparar herramientas del adversario u otros archivos a lo largo de una operación (Ingress Tool Transfer [T1105])
Utilice el Protocolo de escritorio remoto (RDP) para iniciar sesión en una sesión interactiva con una GUI de escritorio del sistema en un sistema remoto (Servicios remotos: Protocolo de escritorio remoto [T1021.001])
Emplee recursos compartidos de red ocultos, junto con cuentas válidas de nivel de administrador, para acceder de forma remota a un sistema en red a través de Server Message Block (SMB) para interactuar con sistemas mediante llamadas de procedimiento remoto (RPC), transferir archivos y ejecutar binarios transferidos a través de ejecución (Servicios remotos: recursos compartidos de administración de Windows / SMB [T1021.002])
Explotar cuentas válidas para iniciar sesión en un servicio diseñado específicamente para aceptar conexiones remotas y realizar acciones como el usuario que inició sesión (Servicios remotos [T1021])

Colección

Dependiendo de los diversos atributos ambientales que encuentre BeagleBoyz durante su explotación, pueden implementar una variedad de herramientas de reconocimiento o usar herramientas administrativas comúnmente disponibles para propósitos maliciosos.

El BeagleBoyz, al igual que otros ciber actores sofisticados, también parece utilizar herramientas administrativas legítimas residentes con fines de reconocimiento cuando están disponibles; esto se conoce comúnmente como «vivir de la tierra». PowerShell parece ser una herramienta popular y legítima que favorece BeagleBoyz para las actividades de reconocimiento. Por ejemplo, BeagleBoyz a menudo usa código disponible públicamente de PowerShell Empire con fines maliciosos.

Los BeagleBoyz han utilizado las siguientes técnicas para recopilar información de los sistemas explotados (Colección [TA0009]).

Utilice métodos automatizados, como secuencias de comandos, para recopilar datos (recopilación automatizada [T1119])
Capture la entrada del usuario para obtener credenciales y recopilar información (Captura de entrada [T1056])
Recopile datos de sistemas locales de un sistema comprometido (Datos del sistema local [T1005])
Tomar capturas de pantalla del escritorio (Captura de pantalla [T1113])
Recopile datos almacenados en el portapapeles de Windows de los usuarios (Datos del portapapeles [T1115])

Comando y control

Es probable que BeagleBoyz cambie las herramientas, como CROWDEDFLOUNDER y HOPLIGHT, con el tiempo para mantener el acceso remoto a las redes de las instituciones financieras y para interactuar con esos sistemas.

El análisis de las siguientes muestras de CROWDEDFLOUNDER se publicó por primera vez en octubre de 2018 como parte de la campaña FASTCash.
Los BeagleBoyz han utilizado CROWDEDFLOUNDER como un troyano de acceso remoto (RAT) desde al menos 2018. El implante está diseñado para operar en hosts de Microsoft Windows y puede cargar y descargar archivos, lanzar un shell de comando remoto, inyectar en los procesos de la víctima, obtener usuario y host. información y eliminar archivos de forma segura. El implante se puede empaquetar con Themida para degradar o prevenir la ingeniería inversa efectiva o evadir la detección en un host de Windows. Se puede configurar para que actúe en modo baliza o escucha, según los argumentos de la línea de comandos o las especificaciones de configuración. El implante ofusca las comunicaciones de red mediante un algoritmo de codificación simple. El modo de escucha de CROWDEDFLOUNDER facilita proxies como ELECTRICFISH (discutido a continuación) con tráfico de túnel en la red de una víctima.

Más recientemente, el gobierno de los EE. UU. Ha encontrado el malware HOPLIGHT en los sistemas de las víctimas, lo que sugiere que BeagleBoyz está utilizando HOPLIGHT para fines similares. HOPLIGHT tiene la misma funcionalidad básica RAT que el implante CROWDEDFLOUNDER. Además, HOPLIGHT tiene la capacidad de crear sesiones fraudulentas de Transport Layer Security (TLS) para ofuscar las conexiones de comando y control (C2), lo que dificulta la detección y el seguimiento de las comunicaciones del malware.

Los informes técnicos completos de CROWDEDFLOUNDER y HOPLIGHT están disponibles en https://us-cert.cisa.gov/northkorea.

BeagleBoyz utiliza herramientas de tunelización de proxy de red, que incluyen VIVACIOUSGIFT y ELECTRICFISH, para canalizar las comunicaciones desde sistemas que no están conectados a Internet, como un servidor de aplicaciones de conmutador ATM o una terminal SWIFT, a sistemas conectados a Internet. BeagleBoyz utiliza estas herramientas de túnel de proxy de red, probablemente ubicadas en o cerca del límite de la red de la víctima, para canalizar otros protocolos como RDP y Secure Shell u otro tráfico de implantes fuera de la red interna.

Parece que a medida que BeagleBoyz cambia las herramientas de proxy, existe cierta superposición entre el uso de malware más antiguo y más nuevo. Por ejemplo, los BeagleBoyz parecen haber comenzado a usar ELECTRICFISH cuando terminaron el uso de VIVACIOUSGIFT. Ha habido una disminución notable en el uso de ELECTRICFISH luego de la divulgación del mismo por parte del gobierno de EE. UU. En mayo de 2019.

Los informes técnicos completos de VIVACIOUSGIFT y ELECTRICFISH están disponibles en https://us-cert.cisa.gov/northkorea.

Además de estas herramientas, BeagleBoyz ha utilizado las siguientes técnicas para comunicarse con los sistemas de víctimas de las instituciones financieras bajo su control (Comando y Control [TA0011]).

Emplear algoritmos de cifrado conocidos para ocultar el tráfico C2 (canal cifrado [T1573])
Comuníquese a través de puertos y protocolos de capa de aplicación estándar de uso común para evitar la detección o inspección detallada y para combinar con el tráfico existente (Protocolo de capa de aplicación [T1071])
Codifique la información C2 utilizando sistemas de codificación de datos estándar como el Código estándar americano para el intercambio de información (ASCII), Unicode, Base64, Extensiones de correo de Internet multipropósito y sistemas de formato de transformación Unicode de 8 bits u otros sistemas de codificación de caracteres y binarios a texto ( Codificación de datos: codificación estándar [T1132.001])
Copie archivos entre sistemas para preparar herramientas adversarias u otros archivos (Herramienta de transferencia de ingreso [T1105])
Utilice servicios web externos previamente comprometidos para transmitir comandos a los sistemas de las víctimas (Servicio web [T1102])
Emplee un protocolo C2 personalizado que imite protocolos conocidos o desarrolle protocolos personalizados (incluidos sockets sin procesar) para complementar los protocolos proporcionados por otra pila de red estándar (Protocolo de capa sin aplicación [T1095])
Ofuscar las comunicaciones C2 (pero no necesariamente cifrarlas) para ocultar los comandos y hacer que el contenido sea menos llamativo y más difícil de descubrir o descifrar (Ofuscación de datos [T1101])
Emplear proxies de conexión para dirigir el tráfico de red entre sistemas, actuar como intermediario para las comunicaciones de red a un servidor C2 o evitar conexiones directas a su infraestructura (Proxy [T1090])
Aprovechar el soporte de escritorio legítimo y el software de acceso remoto para establecer un canal C2 interactivo para los sistemas de destino dentro de las redes (Software de acceso remoto [T1219])

Fuente CISA

El FBI arresta a un pirata informático ruso que intentó convencer a un empleado de que pirateara su empresa en Nevada

Un hacker de Rusia fue a Estados Unidos y le pidió a un empleado de una empresa de Nevada que instalara un malware en la red de su empresa.

En un incidente reciente, el Departamento de Justicia de EE. UU. Declaró hoy cargos contra un hacker ruso. El ciudadano ruso había viajado hasta Estados Unidos para preguntarle a un empleado estadounidense si podía configurar malware, ofreciéndole $ 1,000,000 por el trabajo. Según los informes del tribunal de hoy, el culpable, un pirata informático ruso de 27 años, llamado Egor Igorevich Kriuchkov, es encontrado como miembro criminal de un infame grupo de piratas informáticos ruso. El objetivo del ataque era obtener acceso interno a la red de la empresa y piratear información confidencial, que luego se utilizaría como extorsión con fines de rescate.

Según el empleado de la empresa, Igor le dijo que para evitar que la empresa se enterara del ataque principal, su equipo de piratas informáticos lanzaría ataques DDoS como señuelo para distraer a la empresa «. El propósito de la conspiración era reclutar a un empleado de un empresa para transmitir subrepticiamente malware proporcionado por los coconspiradores en el sistema informático de la empresa, exfiltrar datos de la red de la empresa y amenazar con revelar los datos en línea a menos que la empresa pague la demanda de rescate de los coconspiradores «, dice el documento judicial.

Sin embargo, el plan de atraco de Igor fracasó cuando el empleado que fue contactado denunció este incidente al FBI. El FBI vigiló a Igor durante los primeros días, observando todos sus movimientos. Cuando finalmente tuvo todas las pruebas para la acusación, el FBI arrestó a Igor el sábado pasado.

Cronología de la visita de Igor a su arresto.
Igor contacta al empleado CHSI (identificado por el tribunal) a través de WhatsApp y le informa sobre el ataque. Ambos eran amigos hace dos años.
Igor llega a los EE. UU., Se encuentra con CHSI en un bar.
En el último día de viaje de Igor, le da a CHS1 todos los detalles sobre el ‘proyecto especial’.
En los hechos posteriores, el FBI contacta a Igor, quien intenta huir del país en ese momento y finalmente es arrestado.

Fuente: Ehackingnews

Mozilla lanza actualizaciones de seguridad para Firefox, Firefox ESR y Thunderbird

Mozilla ha publicado actualizaciones de seguridad para abordar las vulnerabilidades en Firefox, Firefox ESR y Thunderbird. Un atacante podría aprovechar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) alienta a los usuarios y administradores a revisar los siguientes avisos de seguridad de Mozilla y aplicar las actualizaciones necesarias.