Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Los hackers de Budworm atacan a organizaciones estadounidenses con nuevos ataques de espionaje
28 de octubre de 2022 - Equipo de Relaciones Públicas de TuxCare
El famoso grupo de ciberespionaje Budworm ha lanzado ataques deliberados contra una serie de objetivos de alto perfil, entre ellos una legislatura estatal estadounidense, un país de Oriente Medio y un fabricante multinacional de productos electrónicos.
Es la primera vez en varios años que Budworm ataca a una entidad con sede en Estados Unidos.
Según el equipo de Symantec Threat Hunter, la banda Budworm explotaba las vulnerabilidades Log4j (CVE-2021-44228 y CVE-2021-45105). Los fallos explotados se utilizaron para comprometer el servicio Apache Tomcat en servidores con el fin de instalar web shells. Los atacantes utilizaron servidores privados virtuales (VPS) alojados en Vultr y Telstra como servidores de comando y control (C&C).
"La principal carga útil de Budworm sigue siendo la familia de malware HyperBro, que a menudo se carga utilizando una técnica conocida como carga lateral de bibliotecas de vínculos dinámicos (DLL). Esto implica que los atacantes colocan una DLL maliciosa en un directorio donde se espera encontrar una DLL legítima. A continuación, el atacante ejecuta la aplicación legítima (habiéndola instalado él mismo). A continuación, la aplicación legítima carga y ejecuta la carga útil", revela el informe.
En los ataques más recientes, Budworm utilizó el software de gestión de privilegios de endpoints CyberArk Viewfinity para llevar a cabo la carga lateral. El binario tiene el nombre predeterminado vf_host.exe y los atacantes suelen dejarlo atrás para camuflarse como un archivo más inofensivo.
Aunque los atacantes utilizan el troyano PlugX/Korplug como carga útil, otras herramientas utilizadas durante los ataques incluyen Cobalt Strike, LaZagne, IOX, Fast Reverse Proxy (FRP) y Fscan.
Cobalt Strike es una herramienta comercial que se utiliza para cargar shellcode en las máquinas víctimas. Aunque se trata de una herramienta legítima de pruebas de penetración, puede ser explotada por agentes de amenazas. LaZagne es una herramienta de descarga de credenciales de acceso público. IOX es una herramienta proxy y de reenvío de puertos de acceso público. Fast Reverse Proxy (FRP) es una herramienta de proxy inverso, mientras que Fscan es una herramienta de escaneo de intranet disponible públicamente.
Unas medidas de seguridad adecuadas son esenciales para mitigar los ataques. Las organizaciones deben utilizar el último parche e instalarlo en sus servidores. También es importante que las organizaciones realicen pen tests periódicos para detectar vulnerabilidades explotables en sus organizaciones, ya que esto puede permitir a los atacantes el acceso inicial a cualquier organización.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.
