Los agentes cibernéticos afiliados al Servicio de Inteligencia Exterior de Rusia (SVR) han cambiado sus tácticas en respuesta a revelaciones públicas anteriores de sus métodos de ataque, según un nuevo aviso publicado conjuntamente por agencias de inteligencia del Reino Unido y Estados Unidos el viernes.
«SVR aparecen operadores cibernéticos que han reaccionado […] cambiando sus TTP en un intento de evitar mayores esfuerzos de detección y regularización de los defensores de la red», el Centro Nacional de Seguridad Cibernética (NSCS) , dijo .
Estos incluyen el despliegue de una herramienta de código abierto llamada Sliver para mantener su acceso a las víctimas comprometidas, así como aprovechar las fallas de ProxyLogon en los servidores de Microsoft Exchange para realizar actividades posteriores a la explotación.
El desarrollo sigue a la atribución pública de los actores vinculados a SVR al ataque a la cadena de suministro de SolarWinds el mes pasado. El adversario también es rastreado bajo diferentes apodos, como Advanced Persistent Threat 29 (APT29), Dukes, CozyBear e Yttrium.
La atribución también estuvo acompañada de un informe técnico que detalla cinco vulnerabilidades que el grupo APT29 de SVR estaba utilizando como puntos de acceso iniciales para infiltrarse en entidades estadounidenses y extranjeras.
- CVE-2018-13379 – Fortinet FortiGate VPN
- CVE-2019-9670 : paquete de colaboración Synacor Zimbra
- CVE-2019-11510 : Pulse Secure Pulse Connect Secure VPN
- CVE-2019-19781 : puerta de enlace y controlador de entrega de aplicaciones Citrix
- CVE-2020-4006 : acceso a VMware Workspace ONE
«El SVR apunta a organizaciones que se alinean con los intereses de inteligencia extranjera rusa, incluidos objetivos gubernamentales, de grupos de expertos, políticos y energéticos, así como objetivos con plazos más definidos , por ejemplo, el objetivo de la vacuna COVID-19 en 2020″, dijo el NCSC.
Esto fue seguido por una guía separada el 26 de abril que arrojó más luz sobre las técnicas utilizadas por el grupo para orquestar intrusiones, contando la propagación de contraseñas, explotando fallas de día cero contra dispositivos de red privada virtual (por ejemplo, CVE-2019-19781) para obtener acceso a la red y la implementación de un malware Golang llamado WELLMESS para saquear la propiedad intelectual de múltiples organizaciones involucradas en el desarrollo de la vacuna COVID-19.
Ahora, según el NCSC, se han agregado siete vulnerabilidades más a la mezcla, al tiempo que se señala que es probable que APT29 se convierta en un arma «rápidamente» las vulnerabilidades públicas recientemente lanzadas que podrían permitir el acceso inicial a sus objetivos.
- CVE-2019-1653 : enrutadores Cisco Small Business RV320 y RV325
- CVE-2019-2725 : servidor Oracle WebLogic
- CVE-2019-7609 : Kibana
- CVE-2020-5902 – F5 Big-IP
- CVE-2020-14882 : servidor Oracle WebLogic
- CVE-2021-21972 : VMware vSphere
- CVE-2021-26855 : Microsoft Exchange Server
«Los defensores de la red deben asegurarse de que los parches de seguridad se apliquen inmediatamente después de los anuncios de CVE para los productos que administran», dijo la agencia.
Fuente: https://thehackernews.com/2021/05/top-11-security-flaws-russian-spy.html
