ClickCease Robo de datos en la red de un contratista militar estadounidense

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Robo de datos en la red empresarial de un contratista militar estadounidense

Obanla Opeyemi

19 de octubre de 2022 - Equipo de expertos TuxCare

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA), el FBI y la NSA han publicado un informe conjunto en el que describen una intrusión en la red de un contratista militar estadounidense que robó datos sensibles.

Aún se desconoce cómo los piratas informáticos entraron en el servidor Microsoft Exchange de la organización de defensa. Según la advertencia, los autores de la amenaza pasaron horas buscando en los buzones de correo y utilizando una cuenta de administrador comprometida para consultar Exchange a través de su API EWS.

Otras actividades maliciosas llevadas a cabo por los hackers en la red del contratista militar incluyen la ejecución de comandos de Windows para obtener más información sobre la configuración de TI y la recopilación de otros archivos en archivos comprimidos mediante WinRAR, así como el uso del conjunto de herramientas de red de código abierto Impacket para controlar y mover máquinas de forma remota por la red.

A continuación, los atacantes utilizaron una herramienta de filtración de datos personalizada llamada CovalentStealer para desviar datos confidenciales, incluida información relacionada con contratos de unidades compartidas.

Las actividades de los atacantes solo se descubrieron cuando alguien se dio cuenta de que algo iba mal. Durante la investigación llevada a cabo por CISA y una empresa de seguridad de "terceros de confianza", los funcionarios investigaron la actividad maliciosa de la red y descubrieron que algunos equipos anónimos habían obtenido acceso inicial al servidor Exchange de la organización a mediados de enero de 2021.

Los hallazgos de los investigadores mostraron que los atacantes explotaron varios errores de Microsoft en 2021, incluyendo CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065, para instalar 17 webshells de China Chopper en el servidor Exchange.

En algunas de sus actividades de amenaza observadas, los atacantes utilizan Impacket, que puede emplearse con fines legítimos y maliciosos. Según Katie Nickels, Jefa de Inteligencia de Red Canary, los atacantes Impacket's wmiexec.py y smbexec.py Python scripts tan pronto como están en la red para controlar remotamente las máquinas en las redes de las víctimas.

"Los agresores prefieren Impacket porque les permite llevar a cabo diversas acciones, como recuperar credenciales, emitir comandos, desplazarse lateralmente y distribuir malware adicional en los sistemas", explica Nickels.

Las fuentes de este artículo incluyen un artículo en TheRegister.

Resumen
Robo de datos en la red empresarial de un contratista militar estadounidense
Nombre del artículo
Robo de datos en la red empresarial de un contratista militar estadounidense
Descripción
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA), el FBI y la NSA han publicado un informe conjunto en el que describen una intrusión en la red de un contratista militar estadounidense que robó datos sensibles.
Autor
Nombre del editor
Tuxcare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín
Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín
Cerrar enlace