La Agencia de Seguridad de Ciberseguridad e Infraestructura de Estados Unidos (CISA, por sus siglas en inglés) y el Buró Federal de Investigaciones (FBI) han emitido una advertencia sobre actores de amenazas que despliegan el malware AndroxGh0st para crear un botnet con el objetivo de «identificación y explotación de víctimas en redes objetivo».
AndroxGh0st es un malware basado en Python que fue documentado por primera vez por Lacework en diciembre de 2022. Desde entonces, ha inspirado la creación de herramientas similares como AlienFox, GreenBot (también conocido como Maintance), Legion y Predator.
Esta herramienta de ataque en la nube es capaz de infiltrarse en servidores vulnerables a fallas de seguridad conocidas para acceder a archivos de entorno de Laravel y robar credenciales de aplicaciones de alto perfil como Amazon Web Services (AWS), Microsoft Office 365, SendGrid y Twilio.
Entre las vulnerabilidades notablemente explotadas por los atacantes se encuentran CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) y CVE-2018-15133 (Laravel Framework).
«AndroxGh0st tiene múltiples características que permiten el abuso de SMTP, incluido el escaneo, la explotación de credenciales y APIs expuestas, e incluso la implementación de web shells», afirmó Lacework. «Específicamente para AWS, el malware busca y analiza claves de AWS, pero también tiene la capacidad de generar claves para ataques de fuerza bruta».
Estas características hacen de AndroxGh0st una amenaza potente que puede utilizarse para descargar cargas adicionales y mantener un acceso persistente a sistemas comprometidos.
Este desarrollo llega menos de una semana después de que SentinelOne revelara una herramienta relacionada pero distinta llamada FBot, que está siendo utilizada por atacantes para vulnerar servidores web, servicios en la nube, sistemas de gestión de contenido (CMS) y plataformas SaaS.
También sigue a una alerta de NETSCOUT sobre un aumento significativo en la actividad de exploración de botnets desde mediados de noviembre de 2023, alcanzando un pico de casi 1.3 millones de dispositivos distintos el 5 de enero de 2024. La mayoría de las direcciones IP de origen están asociadas con EE. UU., China, Vietnam, Taiwán y Rusia.
«El análisis de la actividad ha revelado un aumento en el uso de servidores en la nube y alojamiento baratos o gratuitos que los atacantes están utilizando para crear plataformas de lanzamiento de botnets», afirmó la compañía. «Estos servidores se utilizan a través de pruebas, cuentas gratuitas o cuentas de bajo costo, que proporcionan anonimato y un mantenimiento mínimo».
CyberSOC es una abreviatura de Centro de Operaciones de Ciberseguridad (en inglés, Cybersecurity Operations Center). Un CyberSOC es un componente clave en la infraestructura de Ciberseguridad de una organización. Su función principal es Monitorear, Detectar, Analizar y Responder a Ciberamenazas en tiempo real. El Equipo de un CyberSOC está compuesto por profesionales con experiencia en análisis de amenazas, forense digital, inteligencia de amenazas y otros campos relacionados.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.