Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Botnet DreamBus apunta a aplicaciones ejecutadas en servidores LinuxEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt financiero ha observado una botnet denominada DreamBus que enfoca sus esfuerzos hacia aplicaciones empresariales como PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack y el servicio SSH. DreamBus explota debilidades en el sistema como; contraseñas débiles, ejecución remota de código no autenticado (RCE) en aplicaciones como SSH, herramientas en la nube o las relacionadas con bases de datos para vulnerar el sistema. De su procedencia se cree que es oriunda de Rusia o Europa del Este por los horarios en los cuales se despliegan sus actividades maliciosas. El componente principal de esta Botnet es un binario ELF (formato de archivo para ejecutables) responsable de preparar el entorno, duplicación de la amenaza en los sistemas afectados y liberación de XMRig para extraer la criptomoneda Monero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-dreambus-apunta-a-aplicaciones-ejecutadas-en-servidores-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt financiero ha observado una botnet denominada DreamBus que enfoca sus esfuerzos hacia aplicaciones empresariales como PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack y el servicio SSH. DreamBus explota debilidades en el sistema como; contraseñas débiles, ejecución remota de código no autenticado (RCE) en aplicaciones como SSH, herramientas en la nube o las relacionadas con bases de datos para vulnerar el sistema. De su procedencia se cree que es oriunda de Rusia o Europa del Este por los horarios en los cuales se despliegan sus actividades maliciosas. El componente principal de esta Botnet es un binario ELF (formato de archivo para ejecutables) responsable de preparar el entorno, duplicación de la amenaza en los sistemas afectados y liberación de XMRig para extraer la criptomoneda Monero.
Uso de Runspace en PowerShell para lanzar a REVIL ransomwareEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un script de PowerShell empleado para propagar a REvil ransomware, utilizando la técnica de Runspace para crear subprocesos o hilos a partir de un proceso existente, al cual se agrega código malicioso, logrando ejecutar la amenaza, impactando equipos de cómputo con sistema operativo Windows, impidiendo el acceso a la información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/uso-de-runspace-en-powershell-para-lanzar-a-revil-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un script de PowerShell empleado para propagar a REvil ransomware, utilizando la técnica de Runspace para crear subprocesos o hilos a partir de un proceso existente, al cual se agrega código malicioso, logrando ejecutar la amenaza, impactando equipos de cómputo con sistema operativo Windows, impidiendo el acceso a la información.
Vulnerabilidad en Oracle Weblogic ServerEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero, encontró una vulnerabilidad de ejecución remota de código en los productos de Oracle WebLogic Server Fusion Middleware (Componente: Consola), la cual ya se encuentra identificada bajo CVE-2021-2109. La explotación de la vulnerabilidad permite a un atacante con acceso a la red, ejecutar código a través de HTTP y comprometer Oracle WebLogic Server, la puntuación de criticidad que se obtuvo de este incidente fue de CVSS 3.1 Base Score 7.2, el cual puede impactar en la confidencialidad integridad y disponibilidad del servidor. Las versiones afectadas del producto son: • 10.3.6.0.0 • 12.1.3.0.0 • 12.2.1.3.0 • 12.2.1.4.0 • 14.1.1.0.0http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-oracle-weblogic-serverhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero, encontró una vulnerabilidad de ejecución remota de código en los productos de Oracle WebLogic Server Fusion Middleware (Componente: Consola), la cual ya se encuentra identificada bajo CVE-2021-2109. La explotación de la vulnerabilidad permite a un atacante con acceso a la red, ejecutar código a través de HTTP y comprometer Oracle WebLogic Server, la puntuación de criticidad que se obtuvo de este incidente fue de CVSS 3.1 Base Score 7.2, el cual puede impactar en la confidencialidad integridad y disponibilidad del servidor. Las versiones afectadas del producto son: • 10.3.6.0.0 • 12.1.3.0.0 • 12.2.1.3.0 • 12.2.1.4.0 • 14.1.1.0.0
Ransomware Avaddon utiliza ataques DDoSEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una campaña en la que los ciberdelincuentes detrás del ransomware Avaddon utilizan ataques DDoS contra las redes vulneradas como método de coacción, esto para que las víctimas paguen el rescate exigido después de la ejecución del ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-avaddon-utiliza-ataques-ddoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una campaña en la que los ciberdelincuentes detrás del ransomware Avaddon utilizan ataques DDoS contra las redes vulneradas como método de coacción, esto para que las víctimas paguen el rescate exigido después de la ejecución del ransomware.
Campaña de suplantación dirigida a usuarios de Claro ColombiaEn el monitoreo realizado por el equipo de Csirt Financiero, se evidencia una nueva campaña de suplantación de identidad, donde falsos asesores de la empresa de telecomunicaciones toman contacto telefónico con usuarios desprevenidos, indicando que pertenecen a la empresa de telefonía Claro Colombia y que su servicio requiere de una falsa actualización, por lo que envían un mensaje SMS al usuario indicando que ingrese a la dirección URL para descargar y ejecutar un archivo .apk en el dispositivo móvil.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-suplantacion-dirigida-a-usuarios-de-claro-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de Csirt Financiero, se evidencia una nueva campaña de suplantación de identidad, donde falsos asesores de la empresa de telecomunicaciones toman contacto telefónico con usuarios desprevenidos, indicando que pertenecen a la empresa de telefonía Claro Colombia y que su servicio requiere de una falsa actualización, por lo que envían un mensaje SMS al usuario indicando que ingrese a la dirección URL para descargar y ejecutar un archivo .apk en el dispositivo móvil.
Hidden Cobra implementa nuevos malware en sus ataquesEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad del grupo cibercriminal Hidden Cobra también conocido como Lazarus que ha implementado nuevo malware durante la ejecución de sus ataques. En este caso se han identificado y relacionado dos tipos de malware denominados Torisma y LCPDot.http://csirtasobancaria.com/Plone/alertas-de-seguridad/hidden-cobra-implementa-nuevos-malware-en-sus-ataqueshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad del grupo cibercriminal Hidden Cobra también conocido como Lazarus que ha implementado nuevo malware durante la ejecución de sus ataques. En este caso se han identificado y relacionado dos tipos de malware denominados Torisma y LCPDot.
APT TA551 distribuye Qakbot (Qbot)En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado que el grupo TA551 conocido como Shathak, ha venido distribuyendo el malware Qakbot (Qbot) en lo que lleva del año.http://csirtasobancaria.com/Plone/alertas-de-seguridad/apt-ta551-distribuye-qakbot-qbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado que el grupo TA551 conocido como Shathak, ha venido distribuyendo el malware Qakbot (Qbot) en lo que lleva del año.
NUEVA ACTIVIDAD DE TROYANO BANCARIO DANABOTEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad del troyano bancario DanaBot después de varios meses de inactividad. Esta nueva versión del troyano genera preocupación debido a la efectividad del malware en campañas pasadas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-troyano-bancario-danabothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad del troyano bancario DanaBot después de varios meses de inactividad. Esta nueva versión del troyano genera preocupación debido a la efectividad del malware en campañas pasadas.
ACTIVIDAD RECIENTE DE GROUNDHOG BOTNETEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad reciente de Groundhog, una Botnet que afecta a sistemas Linux e infecta servicios alojados en la nube y sistemas con SSH con poca seguridad en sus credenciales, dado que su método de propagación predilecto son los ataques de fuerza bruta. Esta Botnet está compuesta por dos variantes XOR.DDOS y Groundhog para su correcto funcionamiento.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-de-groundhog-botnethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad reciente de Groundhog, una Botnet que afecta a sistemas Linux e infecta servicios alojados en la nube y sistemas con SSH con poca seguridad en sus credenciales, dado que su método de propagación predilecto son los ataques de fuerza bruta. Esta Botnet está compuesta por dos variantes XOR.DDOS y Groundhog para su correcto funcionamiento.
Vulnerabilidad en sudo permite escalar privilegios en LinuxEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una nueva vulnerabilidad asociada al escalado de privilegios desde root en un equipo comprometido, la vulnerabilidad tiene asignado el CVE-2021-3156, la cual también se le conoce como "Baron Samedit".http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-sudo-permite-escalar-privilegios-en-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una nueva vulnerabilidad asociada al escalado de privilegios desde root en un equipo comprometido, la vulnerabilidad tiene asignado el CVE-2021-3156, la cual también se le conoce como "Baron Samedit".
Oscorp, nuevo malware que exfiltra credenciales en AndroidEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una nueva familia de malware dirigida a sistemas Android. La amenaza denominada Oscorp abusa de los servicios de accesibilidad para exfiltrar credenciales del usuario. La amenaza se embebe en una APK llamada Assistenzaclienti.apk que se encuentra disponible en el dominio supportoapp[.]Com; en el instante de la instalación de la aplicación, se solicitan permisos de manera excesiva.http://csirtasobancaria.com/Plone/alertas-de-seguridad/oscorp-nuevo-malware-que-exfiltra-credenciales-en-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una nueva familia de malware dirigida a sistemas Android. La amenaza denominada Oscorp abusa de los servicios de accesibilidad para exfiltrar credenciales del usuario. La amenaza se embebe en una APK llamada Assistenzaclienti.apk que se encuentra disponible en el dominio supportoapp[.]Com; en el instante de la instalación de la aplicación, se solicitan permisos de manera excesiva.
Abuso de RDP para ejecutar ataques de amplificación DDoSEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una nueva campaña para perpetrar ataques DDoS, abusando del protocolo RDP cuando la autenticación se encuentra habilitada en el puerto UDP 3389.http://csirtasobancaria.com/Plone/alertas-de-seguridad/abuso-de-rdp-para-ejecutar-ataques-de-amplificacion-ddoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una nueva campaña para perpetrar ataques DDoS, abusando del protocolo RDP cuando la autenticación se encuentra habilitada en el puerto UDP 3389.
Vovalex Ransomware desarrollado en DEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo Ransomware denominado Vovalex, distribuido a través de software pirata que suplanta utilidades de Windows como CCleaner (Herramienta desarrollada para mejorar el funcionamiento de cualquier equipo con SO Windows).http://csirtasobancaria.com/Plone/alertas-de-seguridad/vovalex-ransomware-desarrollado-en-dhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo Ransomware denominado Vovalex, distribuido a través de software pirata que suplanta utilidades de Windows como CCleaner (Herramienta desarrollada para mejorar el funcionamiento de cualquier equipo con SO Windows).
Arbitrium-RAT, nuevo troyano multiplataformaEn el monitoreo realizado a fuentes abierta de información, el equipo de Csirt Financiero ha identificado un nuevo troyano denominado Arbitrium-RAT, malware multiplataforma de acceso remoto para controlar dispositivos Android, equipos Windows y Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/arbitrium-rat-nuevo-troyano-multiplataformahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abierta de información, el equipo de Csirt Financiero ha identificado un nuevo troyano denominado Arbitrium-RAT, malware multiplataforma de acceso remoto para controlar dispositivos Android, equipos Windows y Linux.
Trickbot reactiva su actividad con un nuevo módulo denominado MASRVEn el monitoreo realizado por el Csirt Financiero, se han Identificado nuevas campañas de phishing y malspam utilizadas para la distribución de Trickbot, donde se ha evidenciado un nuevo módulo denominado Masrv.http://csirtasobancaria.com/Plone/alertas-de-seguridad/trickbot-reactiva-su-actividad-con-un-nuevo-modulo-denominado-masrvhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se han Identificado nuevas campañas de phishing y malspam utilizadas para la distribución de Trickbot, donde se ha evidenciado un nuevo módulo denominado Masrv.
Vulnerabilidad Zero Day en productos de SonicWallEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una vulnerabilidad zero day catalogada como crítica y está presente en los dispositivos de red SonicWall SMA series 100.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-zero-day-en-productos-de-sonicwallhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una vulnerabilidad zero day catalogada como crítica y está presente en los dispositivos de red SonicWall SMA series 100.
Backdoor Kobalos dirigido a sistemas HPCEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado un nuevo malware llamado Kobalos, su nombre radica en su tamaño de tan solo 24 KB para muestras de 32/64 bits, además de ser sigiloso mediante técnicas anti forenses y de ofuscación compleja que dificultan su análisis. Pese a que no se obtuvieron datos puntuales acerca del vector de infección, se evidencia que su explotación y propagación se lleva a cabo gracias a la ausencia de actualizaciones de parches de seguridad en los sistemas operativos y aplicativos utilizados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-kobalos-dirigido-a-sistemas-hpchttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado un nuevo malware llamado Kobalos, su nombre radica en su tamaño de tan solo 24 KB para muestras de 32/64 bits, además de ser sigiloso mediante técnicas anti forenses y de ofuscación compleja que dificultan su análisis. Pese a que no se obtuvieron datos puntuales acerca del vector de infección, se evidencia que su explotación y propagación se lleva a cabo gracias a la ausencia de actualizaciones de parches de seguridad en los sistemas operativos y aplicativos utilizados.
Hojas de cálculo Excel implementadas en campañas de malwareEn el monitoreo realizado por el Csirt Financiero, se ha identificado la implementación de macros maliciosas en documentos de Microsoft Office Excel para la distribución de malware conocidos como SystemBC y Cobalt Strike. Según las investigaciones que se han realizado a estos documentos maliciosos, permite determinar que han sido propagados mediante campañas de distribución de mensajes de correo electrónico que contienen archivos adjuntos, los cuales, al descargar, descomprimir, acceder y habilitar las macros con contenido malicioso, ejecutan la infección en los equipos de cómputo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/hojas-de-calculo-excel-implementadas-en-campanas-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado la implementación de macros maliciosas en documentos de Microsoft Office Excel para la distribución de malware conocidos como SystemBC y Cobalt Strike. Según las investigaciones que se han realizado a estos documentos maliciosos, permite determinar que han sido propagados mediante campañas de distribución de mensajes de correo electrónico que contienen archivos adjuntos, los cuales, al descargar, descomprimir, acceder y habilitar las macros con contenido malicioso, ejecutan la infección en los equipos de cómputo.
Detección de script que exfiltra información de skimmersEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado que varios sitios web de e-commerce que utilizan Magento versión 1.x, han sido comprometidos por ciberdelincuentes que implantaron skimmer web, códigos Javascript maliciosos que se inyectan en sitios de comercio electrónico para exfiltrar información de las tarjetas bancarias de los usuarios en la realización de una compra.http://csirtasobancaria.com/Plone/alertas-de-seguridad/deteccion-de-script-que-exfiltra-informacion-de-skimmershttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado que varios sitios web de e-commerce que utilizan Magento versión 1.x, han sido comprometidos por ciberdelincuentes que implantaron skimmer web, códigos Javascript maliciosos que se inyectan en sitios de comercio electrónico para exfiltrar información de las tarjetas bancarias de los usuarios en la realización de una compra.
Malware Joker embebido en aplicación de lectura de archivos pdfEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado al troyano Joker embebido en la aplicación denominada Easy PDF Reader (hxxps://play[.]google.com/store/apps/details?id=com.pdfreader[.]for[.]easy). El malware es responsable de usar las aplicaciones alojadas en Google como canal para propagarse, afectando dispositivos móviles con sistema operativo Android.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-joker-embebido-en-aplicacion-de-lectura-de-archivos-pdfhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado al troyano Joker embebido en la aplicación denominada Easy PDF Reader (hxxps://play[.]google.com/store/apps/details?id=com.pdfreader[.]for[.]easy). El malware es responsable de usar las aplicaciones alojadas en Google como canal para propagarse, afectando dispositivos móviles con sistema operativo Android.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}