{"id":13084,"date":"2024-08-02T05:36:33","date_gmt":"2024-08-02T10:36:33","guid":{"rendered":"https:\/\/wp.ditsolution.net\/techno\/?p=13084"},"modified":"2024-08-23T09:59:02","modified_gmt":"2024-08-23T14:59:02","slug":"business-strategy-plan-2022-from-the-usa","status":"publish","type":"post","link":"https:\/\/www.lscvsystems.com\/index.php\/business-strategy-plan-2022-from-the-usa\/","title":{"rendered":"StormBamboo envenena a un ISP para propagar malware a usuarios"},"content":{"rendered":"\n

A mediados de 2023, Volexity detect\u00f3 y respondi\u00f3 a m\u00faltiples incidentes relacionados con sistemas infectados con malware vinculado a StormBamboo (tambi\u00e9n conocido como Evasive Panda, y previamente rastreado por Volexity bajo \u00abStormCloud<\/a>\u00ab). En esos incidentes, se encontraron m\u00faltiples familias de malware implementadas en sistemas macOS y Windows en las redes de las organizaciones v\u00edctimas.<\/p>\n\n\n\n

El vector de infecci\u00f3n de este malware fue inicialmente dif\u00edcil de establecer, pero luego result\u00f3 ser el resultado de un ataque de envenenamiento de DNS a nivel del proveedor de servicios de Internet (ISP). Volexity determin\u00f3 que StormBamboo estaba alterando las respuestas de las consultas de DNS para dominios espec\u00edficos vinculados a mecanismos de actualizaci\u00f3n autom\u00e1tica de software. Al parecer, StormBamboo se dirig\u00eda al software que utilizaba mecanismos de actualizaci\u00f3n inseguros, como HTTP, y no validaba correctamente las firmas digitales de los instaladores. Por lo tanto, cuando estas aplicaciones iban a recuperar sus actualizaciones, en lugar de instalar la actualizaci\u00f3n prevista, instalaban malware, incluidos, entre otros, MACMA<\/a> y POCOSTICK (tambi\u00e9n conocidos como MGBot<\/a>). El flujo de trabajo general utilizado por los atacantes es similar a un incidente anterior investigado por Volexity que se atribuy\u00f3 a DriftingBamboo, un actor de amenazas que posiblemente est\u00e9 relacionado con StormBamboo.<\/p>\n\n\n\n

En abril de 2023, ESET public\u00f3 una entrada de blog<\/a> sobre una familia de malware que Volexity ha rastreado desde 2018 como POCOSTICK. ESET no ten\u00eda evidencia directa, pero propuso que la fuente m\u00e1s probable de infecci\u00f3n era un adversario en el medio (AiTM). Volexity ahora puede confirmar este escenario en un caso real y demostrar que el atacante pudo controlar la infraestructura DNS del ISP objetivo para modificar las respuestas DNS en la red de la organizaci\u00f3n v\u00edctima.<\/p>\n\n\n\n

Esta entrada del blog explica el vector de infecci\u00f3n y da un ejemplo de c\u00f3mo StormBamboo abus\u00f3 de una actualizaci\u00f3n autom\u00e1tica. Tenga en cuenta que este es solo un ejemplo; El actor de amenazas ha modificado los flujos de trabajo de instalaci\u00f3n para una serie de aplicaciones cuyos mecanismos de actualizaci\u00f3n son vulnerables a este tipo de ataque.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Visi\u00f3n general<\/h2>\n\n\n\n

Durante un incidente investigado por Volexity, se descubri\u00f3 que StormBamboo envenen\u00f3 las solicitudes de DNS para implementar malware a trav\u00e9s de un mecanismo de actualizaci\u00f3n autom\u00e1tica HTTP y las respuestas de envenenamiento para nombres de host leg\u00edtimos que se utilizaron como servidores de comando y control (C2) de segunda etapa.<\/p>\n\n\n\n

Los registros DNS se envenenaron para resolverse en un servidor controlado por el atacante en Hong Kong en la direcci\u00f3n IP . Inicialmente, Volexity sospech\u00f3 que el firewall de la organizaci\u00f3n v\u00edctima inicial podr\u00eda haber estado comprometido. Sin embargo, una investigaci\u00f3n m\u00e1s profunda revel\u00f3 que el envenenamiento de DNS no se realiz\u00f3 dentro de la infraestructura objetivo, sino m\u00e1s arriba en el nivel del ISP. Volexity notific\u00f3 y trabaj\u00f3 con el ISP, que investig\u00f3 varios dispositivos clave que proporcionaban servicios de enrutamiento de tr\u00e1fico en su red. A medida que el ISP se reiniciaba y desconectaba varios componentes de la red, el envenenamiento de DNS se detuvo de inmediato. Durante este tiempo, no fue posible identificar un dispositivo espec\u00edfico que se viera comprometido, pero varios componentes de la infraestructura se actualizaron o se dejaron fuera de l\u00ednea y la actividad ces\u00f3<\/p>\n\n\n

\u00a0<\/p>\n

Envenenamiento de DNS: \u00a1Ahora con el abuso de mecanismos de actualizaci\u00f3n autom\u00e1tica inseguros!<\/h2>\n

<\/p>\n

<\/p>\n

En el caso analizado anteriormente, en el que se utiliz\u00f3 CATCHDNS para modificar las respuestas DNS, el objetivo final de los ataques era modificar el contenido de las p\u00e1ginas por las que navegaban los usuarios. Esto dio lugar a una alerta emergente de JavaScript en la p\u00e1gina que ped\u00eda al usuario que \u00abactualizara su navegador\u00bb, lo que descargar\u00eda un archivo malicioso del servidor del atacante. En este caso m\u00e1s reciente, el m\u00e9todo del atacante para distribuir malware era m\u00e1s sofisticado, abusando de mecanismos de actualizaci\u00f3n autom\u00e1tica inseguros presentes en el software en el entorno de la v\u00edctima, por lo que no requer\u00eda interacci\u00f3n del usuario.<\/p>\n

La l\u00f3gica detr\u00e1s del abuso de las actualizaciones autom\u00e1ticas es la misma para todas las aplicaciones: la aplicaci\u00f3n leg\u00edtima realiza una solicitud HTTP para recuperar un archivo basado en texto (el formato var\u00eda) que contiene la \u00faltima versi\u00f3n de la aplicaci\u00f3n y un enlace al instalador. Dado que el atacante tiene el control de las respuestas DNS para cualquier nombre DNS dado, abusa de este dise\u00f1o, redirigiendo la solicitud HTTP a un servidor C2 que controla que aloja un archivo de texto falsificado y un instalador malicioso. A continuaci\u00f3n se muestra el flujo de trabajo de AiTM.<\/p>","protected":false},"excerpt":{"rendered":"

A mediados de 2023, Volexity detect\u00f3 y respondi\u00f3 a m\u00faltiples incidentes relacionados con sistemas infectados con malware vinculado a StormBamboo (tambi\u00e9n conocido como Evasive Panda, y previamente rastreado por Volexity bajo \u00abStormCloud\u00ab). En esos incidentes, se encontraron m\u00faltiples familias de malware implementadas en sistemas macOS y Windows en las redes de las organizaciones v\u00edctimas. El vector […]<\/p>\n","protected":false},"author":1,"featured_media":13087,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[22],"tags":[28],"_links":{"self":[{"href":"https:\/\/www.lscvsystems.com\/index.php\/wp-json\/wp\/v2\/posts\/13084"}],"collection":[{"href":"https:\/\/www.lscvsystems.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lscvsystems.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lscvsystems.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lscvsystems.com\/index.php\/wp-json\/wp\/v2\/comments?post=13084"}],"version-history":[{"count":4,"href":"https:\/\/www.lscvsystems.com\/index.php\/wp-json\/wp\/v2\/posts\/13084\/revisions"}],"predecessor-version":[{"id":13838,"href":"https:\/\/www.lscvsystems.com\/index.php\/wp-json\/wp\/v2\/posts\/13084\/revisions\/13838"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.lscvsystems.com\/index.php\/wp-json\/wp\/v2\/media\/13087"}],"wp:attachment":[{"href":"https:\/\/www.lscvsystems.com\/index.php\/wp-json\/wp\/v2\/media?parent=13084"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lscvsystems.com\/index.php\/wp-json\/wp\/v2\/categories?post=13084"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lscvsystems.com\/index.php\/wp-json\/wp\/v2\/tags?post=13084"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}