Newsletter - 2024-48
Tabla de Contenidos
- Newsletter - 2024-48
- Técnicas de evasión de la seguridad
- Red de sitios de noticias falsas con influencia prochina
- Los puntos ciegos de ciberseguridad en las herramientas IaC y PaC
- Los federales acusan a cinco hombres en la redada de la “araña dispersa”
- Martes de parches de Microsoft
- Ciberseguridad: La amenaza crece, tu protección también debe hacerlo.
- Robo por correo electrónico en iLearningEngines
Técnicas de evasión de la seguridad
| Categoría | Ciberseguridad |
| Nombre vulnerabilidad | Evasión anti-detección en ataques de phishing |
| Brecha | Fallos en la detección automatizada |
| Criticidad | |
| Fuente | The Hacker News |
Los ataques de phishing han evolucionado notablemente en las últimas décadas, pasando de ser simples sitios para capturar datos de tarjetas de crédito a complejas operaciones que combinan técnicas avanzadas y herramientas personalizadas. Hace 15-20 años, los defensores intentaban contrarrestar estos ataques inundando los sitios de phishing con números falsos, pero los atacantes respondieron utilizando algoritmos como Luhn para verificar la validez de los datos y realizar microdonaciones que confirmaran la actividad de las tarjetas.
Con el tiempo, los atacantes desarrollaron técnicas anti-investigación para dificultar el trabajo de los analistas de seguridad. Estas incluyen bloqueos de IP después de un único acceso, detección de proxies y la aleatorización de estructuras de carpetas en URLs para evitar el rastreo. Además, servicios de “crypting” permitieron modificar firmas de malware, haciéndolos invisibles para antivirus basados en firmas.
En la actualidad, las estrategias de evasión son aún más sofisticadas. Los atacantes recopilan información detallada sobre dispositivos para imitar los entornos de las víctimas y superar verificaciones de seguridad. Por ejemplo, se utilizan máquinas virtuales configuradas con los datos del dispositivo de la víctima, como versión de Windows y especificaciones de hardware. Estas tácticas permiten que las acciones maliciosas parezcan legítimas y dificultan su detección.
Un ejemplo reciente es un ataque de phishing que imitaba soporte técnico de Microsoft. Este esquema utilizaba páginas falsas de inicio de sesión de Office 365, combinando redirecciones engañosas con elementos psicológicos para ganar credibilidad. Además, se han implementado cadenas de redirección complejas, como aquellas que comienzan en sitios populares y terminan en páginas phishing alojadas en la web descentralizada (IPFS), lo que dificulta el rastreo.
Los atacantes también han adaptado sus recursos visuales. Antes, logos y metadatos estáticos facilitaban la identificación de páginas maliciosas. Ahora, estos elementos son aleatorios y se generan dinámicamente, complicando la detección automatizada.
A medida que evolucionan, los atacantes recurren a herramientas avanzadas como el uso de inteligencia artificial para generar contenido malicioso, bots de Telegram para recibir credenciales robadas y métodos de distribución como archivos HTML que descargan malware en múltiples pasos. También han explotado aplicaciones legítimas, como Trello o Google Drive, para el control de sus operaciones, evadiendo herramientas tradicionales de seguridad.
En definitiva, el phishing moderno es una lucha constante entre atacantes y defensores, caracterizada por innovaciones tecnológicas y tácticas adaptativas que hacen cada vez más difícil proteger a los usuarios y las organizaciones.
Red de sitios de noticias falsas con influencia prochina
| Categoría | Ciberespionaje |
| Nombre vulnerabilidad | Explotación de dispositivos perimetrales |
| Brecha | Insuficiencia en la detección de explotación de vulnerabilidades públicas |
| Criticidad | |
| Fuente | The Hacker News |
Agencias gubernamentales y organizaciones no gubernamentales en Estados Unidos han sido blanco de un grupo de amenazas emergente, vinculado al estado chino, conocido como Storm-2077. Según Microsoft, este adversario ha estado activo desde al menos enero de 2024 y ha atacado sectores clave como la base industrial de defensa, aviación, telecomunicaciones, y servicios financieros y legales a nivel mundial. El grupo comparte similitudes con TAG-100, rastreado por el Insikt Group de Recorded Future.
Los ataques de Storm-2077 han incluido la explotación de dispositivos perimetrales expuestos a Internet mediante vulnerabilidades públicas para obtener acceso inicial. Posteriormente, los atacantes utilizan herramientas como Cobalt Strike y malware de código abierto como Pantegana y Spark RAT. Estas tácticas se han complementado con correos de phishing diseñados para robar credenciales válidas asociadas a aplicaciones de eDiscovery, que luego se emplean para exfiltrar correos electrónicos con información sensible.
En otros casos, Storm-2077 accedió a entornos en la nube comprometiendo credenciales de dispositivos infectados. Una vez obtenidos privilegios administrativos, los atacantes crearon aplicaciones propias con permisos para leer correos, consolidando su control y capacidad de espionaje.
Paralelamente, Google identificó una operación de influencia pro-China denominada GLASSBRIDGE, la cual utiliza una red de sitios de noticias falsas y servicios de sindicación para promover narrativas alineadas con la agenda política china. Desde 2022, Google ha bloqueado más de mil sitios asociados con esta operación para que no aparezcan en Google News y Google Discover.
GLASSBRIDGE está respaldada por firmas de relaciones públicas digitales chinas, como Shanghai Haixun Technology, Times Newswire y DURINBRIDGE, que presentan contenido pro-Beijing en subdominios de medios legítimos. Ejemplos de estos subdominios incluyen markets.post-gazette[.]com y business.thepilotnews[.]com. Según Google, estas tácticas reflejan cómo los actores de operaciones de información han ampliado su alcance más allá de las redes sociales, adoptando métodos que aparentan ser noticias locales legítimas para llegar a audiencias regionales específicas.
El uso de técnicas avanzadas de ciberespionaje y propaganda demuestra cómo actores estatales como Storm-2077 y operaciones como GLASSBRIDGE han adoptado enfoques sofisticados para lograr objetivos de inteligencia y manipulación de información. Estas estrategias representan un desafío significativo para la seguridad cibernética y la integridad de la información a nivel global.
Los puntos ciegos de ciberseguridad en las herramientas IaC y PaC
| Categoría | Ciberseguridad |
| Nombre vulnerabilidad | Exfiltración de datos y ejecución de código malicioso en IaC y PaC. |
| Brecha | Falta de validación estricta en pipelines CI/CD y políticas mal configuradas en motores como OPA. |
| Criticidad | |
| Fuente | The hacker news |
Investigadores en ciberseguridad han revelado dos nuevas técnicas de ataque dirigidas a herramientas como HashiCorp’s Terraform y Open Policy Agent (OPA), que utilizan lenguajes específicos de dominio (DSL) para gestionar plataformas en la nube y políticas de seguridad. Aunque estos lenguajes son considerados más seguros que los lenguajes de programación estándar, no son completamente invulnerables, según Shelly Raban, investigador senior de Tenable.
OPA es un motor de políticas de código abierto utilizado en entornos nativos de la nube como microservicios, pipelines de CI/CD y Kubernetes. Estas políticas se definen en el lenguaje Rego, que es evaluado por OPA para tomar decisiones. La técnica de ataque revelada por Tenable se enfoca en la cadena de suministro: un atacante puede obtener acceso no autorizado a una clave comprometida e insertar una política maliciosa en un servidor OPA. Esto permite realizar acciones maliciosas, como la exfiltración de credenciales mediante la función “http.send”. Incluso si se restringe esta función, los atacantes pueden usar la función net.lookup_ip_addr para implementar túneles DNS y extraer datos de manera similar.
En cuanto a Terraform, esta herramienta simplifica la configuración y gestión de recursos en la nube mediante definiciones en código con el HashiCorp Configuration Language (HCL). Los atacantes pueden explotar el comando “terraform plan” durante los flujos de trabajo en GitHub, particularmente en solicitudes de extracción (pull requests). Esto abre la posibilidad de ejecutar cambios no revisados, integrando datos maliciosos en el proceso de CI/CD. Según Tenable, esta vulnerabilidad podría ser explotada tanto por atacantes externos en repositorios públicos como por insiders maliciosos o atacantes con acceso en repositorios privados.
Para mitigar estos riesgos, se recomiendan varias medidas:
Implementar <b>control de acceso basado en roles (RBAC)</b> y seguir el principio de <b>menor privilegio</b>.
Establecer <b>registros a nivel de aplicación y nube</b> para monitoreo y análisis.
Limitar el acceso a la red y datos de las aplicaciones y sus máquinas subyacentes.
Evitar la <b>ejecución automática de código no revisado</b> en pipelines CI/CD.
Además, se pueden usar herramientas de escaneo de IaC, como Terrascan y Checkov, para identificar problemas de configuración y cumplimiento antes de desplegar.
Los federales acusan a cinco hombres en la redada de la “araña dispersa”
| Categoría | Phishing |
| Nombre vulnerabilidad | Explotación de credenciales mediante phishing y SIM-swapping. |
| Brecha | Insuficiente protección contra ataques de ingeniería social y autenticación débil basada en SMS. |
| Criticidad | |
| Fuente | Krebsonsecurity |
Los fiscales federales en Los Ángeles han presentado cargos criminales contra cinco hombres, presuntamente miembros del grupo de hacking conocido como Scattered Spider y Oktapus. Este grupo, activo entre 2021 y 2023, llevó a cabo intrusiones cibernéticas contra grandes empresas tecnológicas como LastPass, MailChimp, Okta, T-Mobile y Twilio. Sus ataques se basaban principalmente en phishing por SMS dirigido a empleados.
El grupo utilizaba mensajes de texto que solicitaban a los empleados hacer clic en un enlace y acceder a sitios que simulaban la página de autenticación de sus empresas. Algunos mensajes indicaban que las credenciales VPN estaban por expirar, mientras que otros notificaban supuestos cambios en horarios laborales. Los dominios utilizados, como twilio-help[.]com, eran registrados poco antes del ataque y permanecían activos solo por horas, evadiendo sistemas de seguridad.
Estas campañas de phishing empleaban kits con un bot de Telegram que reenviaba en tiempo real las credenciales ingresadas. Esto permitía a los atacantes iniciar sesión en los sitios reales utilizando nombres de usuario, contraseñas y códigos de un solo uso. En agosto de 2022, investigadores de seguridad rastrearon datos filtrados del bot de Telegram, identificando al desarrollador como “Joeleoli”, alias de Joel Martin Evans, un estadounidense de 25 años de Carolina del Norte.
Uno de los principales golpes de Scattered Spider ocurrió en 2022 contra Twilio, afectando a más de 163 clientes de la empresa. Según los fiscales, el grupo estaba motivado por el robo de criptomonedas, utilizando técnicas adicionales como SIM-swapping para interceptar mensajes SMS y obtener contraseñas.
Otro miembro clave, Tyler Buchanan, alias “Tylerb”, operaba desde Escocia y acumuló Bitcoins por valor de $27 millones. Buchanan fue arrestado en España en 2024 tras huir del Reino Unido debido a un violento intento de robo en su hogar. Otros presuntos miembros, como Noah Michael Urban (“Sosa”), Ahmed Hossam Eldin Elbadawy y Evans Onyeaka Osiebo, fueron identificados y enfrentan cargos relacionados con fraude electrónico, conspiración y robo de identidad.
El grupo también estuvo vinculado al ataque de ransomware que paralizó los hoteles MGM Resorts en 2023. Si son condenados, los acusados enfrentan hasta 20 años de prisión por fraude electrónico y sentencias adicionales por robo de identidad.
Martes de parches de Microsoft
| Categoría | Vulnerabilidades críticas en sistemas operativos y aplicaciones. |
| Nombre vulnerabilidad | CVE-2024-49039 |
| Brecha | Exposición de credenciales, ejecución remota de código y ataques laterales en redes empresariales. |
| Criticidad | |
| Fuente | Krebsonsecurity |
Microsoft ha lanzado este mes actualizaciones de seguridad para abordar al menos 89 vulnerabilidades en sus sistemas operativos Windows y otros programas. Entre las correcciones se encuentran dos vulnerabilidades de día cero, ya explotadas activamente, y dos fallos previamente divulgados públicamente.
Una de las vulnerabilidades de día cero, CVE-2024-49039, afecta al Windows Task Scheduler, permitiendo que un atacante eleve sus privilegios en una máquina Windows. Este fallo fue reportado por el Grupo de Análisis de Amenazas de Google. El segundo día cero, CVE-2024-43451, es una vulnerabilidad de suplantación que permite exponer hashes NTLMv2, usados para autenticación en entornos Windows. Según Satnam Narang de Tenable, estos hashes pueden habilitar ataques de “pass-the-hash”, permitiendo a los atacantes hacerse pasar por usuarios legítimos sin necesidad de sus contraseñas.
Microsoft también ha corregido otros fallos críticos:
<b>CVE-2024-49019</b>, una falla de elevación de privilegios en <b>Active Directory Certificate Services</b>.
<b>CVE-2024-49040</b>, una vulnerabilidad de suplantación en <b>Microsoft Exchange Server</b>.
Entre las vulnerabilidades más graves de este mes destaca CVE-2024-43639, un fallo de ejecución remota de código en el protocolo de autenticación Windows Kerberos. Según Ben McCarthy, este fallo podría permitir a los atacantes realizar acciones privilegiadas en máquinas remotas, lo que facilitaría el acceso al controlador de dominio, un objetivo clave en redes empresariales. Otra vulnerabilidad notable es CVE-2024-43498, un fallo crítico en .NET y Visual Studio con una calificación de gravedad de 9.8/10, que podría ser utilizado para instalar malware.
Además, Microsoft solucionó 29 problemas relacionados con memoria en servidores SQL, cada uno con una calificación de 8.8. Estos fallos pueden ser explotados si un usuario autenticado se conecta a una base de datos maliciosa o comprometida.
Para los administradores, recursos como el SANS Internet Storm Center y AskWoody.com ofrecen análisis detallados y advertencias sobre posibles problemas al aplicar estas actualizaciones. Como siempre, se recomienda instalar los parches de seguridad lo antes posible y monitorear cualquier inconveniente.
Ciberseguridad: La amenaza crece, tu protección también debe hacerlo.
| Categoría | Ciberseguridad |
| Nombre vulnerabilidad | Enfoque estratégico ante amenazas cibernéticas crecientes. |
| Brecha | Riesgos organizacionales derivados de la falta de un enfoque integral y proactivo hacia la ciberseguridad |
| Criticidad | |
| Fuente | Securityboulevard |
En un mundo donde las amenazas cibernéticas evolucionan rápidamente, las empresas deben adoptar un enfoque serio y estratégico hacia la ciberseguridad. Las tendencias actuales, como la transformación digital, el trabajo híbrido y la adopción de la inteligencia artificial, han creado un panorama de amenazas más sofisticado que nunca. Por ello, es fundamental que todas las empresas, sin importar su tamaño o sector, prioricen la seguridad en todos los niveles de su organización para evitar consecuencias devastadoras, como pérdidas económicas, daños a la reputación o problemas legales.
Para lograr este cambio de mentalidad, las empresas deben tomar decisiones tácticas claras, como implementar autenticación multifactor y protección contra ransomware. Sin embargo, el enfoque debe ir más allá de las acciones operativas y centrarse en tres puntos estratégicos clave:
- Liderazgo en ciberseguridad desde la alta dirección: El cambio cultural hacia una mayor ciberseguridad debe comenzar en los niveles más altos de la organización, es decir, en el equipo ejecutivo y la junta directiva. Son ellos quienes deben tomar la iniciativa y comprender que la ciberseguridad no es un gasto adicional, sino una inversión esencial para proteger los centros de ganancias de la empresa. Si los líderes entienden lo que está en juego, estarán dispuestos a asignar los recursos necesarios para fortalecer la postura de seguridad de la empresa.
- El papel crucial de los CISOs: Un Chief Information Security Officer (CISO)competente y con poder dentro de la organización es fundamental. Los CISOs deben tener la capacidad de comunicar de manera clara y objetiva las debilidades en la seguridad de la empresa y trabajar en estrecha colaboración con el equipo ejecutivo para priorizar y financiar las mejoras necesarias. Un CISO que no se sienta apoyado corre el riesgo de que las vulnerabilidades no sean abordadas adecuadamente, lo que aumenta la probabilidad de un incidente grave.
- Adopción de marcos de protección de la información: Para fortalecer su postura de seguridad, las organizaciones deben adoptar marcos de referencia establecidos en la protección de la información, como ISO 27001, CIS o ENS, entre otros. Estos marcos ofrecen directrices y buenas prácticas para gestionar los riesgos cibernéticos, priorizando la prevención, la protección de los activos críticos y la capacidad de respuesta ante posibles amenazas. Si bien adoptar estas normativas no garantiza una protección total frente a los ciberataques, proporciona una estructura sólida y adaptada a las necesidades de cada organización para reducir riesgos y facilitar la recuperación en caso de incidentes.
En resumen, las empresas deben comprometerse seriamente con la ciberseguridad, actuar de manera estratégica y asegurar que todos los niveles de la organización participen activamente en la protección frente a las crecientes amenazas cibernéticas, especialmente con la aparición de nuevas amenazas impulsadas por la inteligencia artificial.
Robo por correo electrónico en iLearningEngines
| Categoría | Ciberataque |
| Nombre vulnerabilidad | Compromiso de correos electrónicos. |
| Brecha | Vulnerabilidad en la seguridad de la comunicación y transacciones financieras dentro de la red corporativa. |
| Criticidad | |
| Fuente | Incibe |
El 21 de noviembre de 2024, la compañía estadounidense iLearningEngines, especializada en el entrenamiento de software de inteligencia artificial para empresas, informó a la Comisión del Mercado de Valores (SEC) sobre un robo de fondos que asciende a 250.000 US$. Este incidente tuvo lugar en un contexto de expansión para la compañía, que se hizo pública en abril de 2024 y actualmente trabaja con más de 1.000 firmas diferentes, reportando ingresos de 135 millones de dólares en su último cuatrimestre.
El ataque ocurrió a través de un compromiso de correos electrónicos, un tipo de ciberataque en el que los actores de amenazas logran obtener acceso no autorizado a cuentas de correo electrónico corporativas para robar información sensible o ejecutar acciones maliciosas. En este caso, el atacante logró acceder a una serie de archivos de la red interna de iLearningEngines, permitiéndole manipular una transacción financiera y redirigir un pago de la empresa. La cantidad robada fue de 250.000 US$, lo que pone de relieve la seriedad del incidente.
Una vez detectado el robo, la compañía inició una investigación interna para determinar el alcance del ataque y entender cómo se produjo. Además, se involucraron empresas de seguridad externas para asistir en la investigación y evaluar los daños. Aunque el atacante permanece sin identificar, la empresa ha asegurado que está tomando las medidas necesarias para reforzar su seguridad y evitar futuros incidentes.
Este robo pone de manifiesto la vulnerabilidad de las organizaciones ante ataques de ingeniería social, en los cuales los actores de amenazas manipulan las credenciales de empleados mediante técnicas como el phishing o el compromiso de correo electrónico. La filtración de datos internos y la manipulación de pagos no solo afectan las finanzas de una empresa, sino que también pueden dañar su reputación y la confianza de sus clientes.
iLearningEngines, a pesar de ser una compañía relativamente nueva en el mercado público, ha manifestado su compromiso por mejorar sus medidas de seguridad para proteger los datos sensibles de sus clientes y su infraestructura tecnológica frente a ciberamenazas crecientes.