Un nuevo actor de amenazas persistente y altamente capaz ha estado apuntando a las principales entidades públicas y privadas de alto perfil en los EE. UU.Como parte de una serie de ataques de intrusión cibernética dirigidos mediante la explotación de servidores de Microsoft Internet Information Services ( IIS ) orientados a Internet para infiltrarse en sus redes.
La firma israelí de ciberseguridad Sygnia, que identificó la campaña, está rastreando al avanzado y sigiloso adversario bajo el sobrenombre de "Praying Mantis" o "TG2021".
"TG1021 utiliza un marco de malware personalizado, construido alrededor de un núcleo común, hecho a la medida para los servidores IIS. El conjunto de herramientas es completamente volátil, se carga de manera reflectante en la memoria de una máquina afectada y deja poco o ningún rastro en los objetivos infectados", el dijeron los investigadores . "El actor de amenazas también utiliza una puerta trasera sigilosa adicional y varios módulos posteriores a la explotación para realizar el reconocimiento de la red, elevar los privilegios y moverse lateralmente dentro de las redes".
Además de exhibir capacidades que muestran un esfuerzo significativo para evitar la detección interfiriendo activamente con los mecanismos de registro y evadiendo con éxito los sistemas comerciales de detección y respuesta de puntos finales (EDR), se sabe que el actor de amenazas aprovecha un arsenal de exploits de aplicaciones web ASP.NET para obtener una ventaja. punto de apoyo inicial y puerta trasera de los servidores mediante la ejecución de un implante sofisticado llamado "NodeIISWeb" que está diseñado para cargar archivos DLL personalizados, así como para interceptar y manejar las solicitudes HTTP recibidas por el servidor.
Las vulnerabilidades que aprovecha el actor incluyen:
- Exploit RCE de encuesta de casilla de verificación ( CVE-2021-27852 )
- Explotación de deserialización VIEWSTATE
- Altserialización Deserialización insegura
- Exploit de Telerik-UI ( CVE-2019-18935 y CVE-2017-11317 )
Curiosamente, la investigación de Sygnia sobre las tácticas, técnicas y procedimientos (TTP) de TG1021 ha descubierto "superposiciones importantes" con las de un actor patrocinado por la nación llamado " Compromisos de copiar y pegar ", como se detalla en un aviso publicado por el Centro Australiano de Seguridad Cibernética ( ACSC) en junio de 2020, que describió una campaña cibernética dirigida a la infraestructura de cara al público principalmente a través del uso de fallas sin parches en la interfaz de usuario de Telerik y los servidores IIS. Sin embargo, aún no se ha realizado una atribución formal.
"Praying Mantis, que se ha observado apuntando a entidades públicas y privadas de alto perfil en dos mercados occidentales importantes, ejemplifica una tendencia creciente de ciberdelincuentes que utilizan métodos de ataque sofisticados de estado-nación para atacar organizaciones comerciales", dijeron los investigadores. "Las actividades forenses continuas y la respuesta oportuna a incidentes son esenciales para identificar y defender eficazmente las redes de ataques de actores de amenazas similares".
fuente: https://thehackernews.com/2021/08/new-apt-hacking-group-targets-microsoft.html
No hay comentarios.:
Publicar un comentario