1. Principales Vulnerabilidades y Filtraciones de la semana

2. Herramientas de Monitoreo y Gestión Remota (RMM) que podrían ser potencialmente abusadas por actores de amenazas

3. Empleados de la NASA caen en una estafa de phishing china dirigida al software de defensa estadounidense

💥Alerta crítica: Carga de trabajo segura de Cisco afectada por un fallo CVSS 10.0 (Noticia)

💥Santalucía sufre un ciberataque tras detectar un acceso irregular a datos personales de clientes (Noticia)

💥Drupal publica actualizaciones de seguridad urgentes para el núcleo; se recomienda a los sitios web que se preparen (Noticia)

💥Microsoft publica una solución para el exploit «YellowKey» que permite eludir BitLocker (Noticia)

💥GitHub confirma una brecha en 3.800 repositorios internos por una extensión maliciosa de VS Code (Noticia)

💥Validación de entrada incorrecta en el servidor de UniFI OS (Noticia)

💥Explotan vulnerabilidades en F5 BIG-IP para obtener acceso SSH y abrirse paso hacia redes Linux (Noticia)

Herramientas de Monitoreo y Gestión Remota (RMM) que podrían ser potencialmente abusadas por actores de amenazas

La adopción masiva de herramientas de Remote Monitoring and Management (RMM) ha transformado la administración de sistemas modernos. Plataformas como AnyDesk, ScreenConnect, TeamViewer, Atera, Splashtop o SimpleHelp permiten soporte remoto, automatización y administración centralizada de endpoints. Sin embargo, estas mismas capacidades las han convertido en uno de los recursos favoritos de operadores de ransomware, Initial Access Brokers (IABs) y grupos APT.

El problema ya no es únicamente el malware tradicional. Hoy en día, muchos atacantes operan utilizando software legítimo, firmado digitalmente y ampliamente permitido dentro de las organizaciones. Este enfoque encaja perfectamente en la filosofía Living Off The Land (LOTL): utilizar herramientas legítimas para reducir detección y mezclarse con la actividad normal del entorno.

Las herramientas RMM proporcionan prácticamente todo lo que un atacante necesita tras conseguir acceso inicial:

Esto elimina la necesidad de desarrollar malware complejo.

Huntress reportó un crecimiento significativo del abuso de RMM en campañas recientes, observando un incremento del 277% en ciertos escenarios operativos.

Uno de los ejemplos más claros es AnyDesk. El análisis “Digital Forensics: AnyDesk – Favorite Tool of APTs” describe cómo se ha convertido en una herramienta habitual dentro de operaciones APT y campañas ransomware. AnyDesk presenta varias ventajas ofensivas:

• Instalación rápida

• Bajo consumo de recursos

• Conectividad estable

• NAT traversal

• Persistencia configurable

• Soporte unattended access

• Firma digital legítima

• genera menos fricción operativa,

• es conocido por usuarios y administradores, y rara vez se bloquea inicialmente.

• todo el tráfico va por https desde el endpoint

Cómo lo combatimos:

1. Inventario estricto y actualizado de los sistemas autorizados de RMM

2. Aplication AllowListing estricta que impida las soluciones no autorizadas

3. Correlación y detección de este tipo de elementos en SIEM

4. Integración de reglas LOLRMM

Equipo de BlueTeam de BeeHackers

Empleados de la NASA caen en una estafa de phishing china dirigida al software de defensa estadounidense

La Oficina del Inspector General (OIG) de la Administración Nacional de Aeronáutica y del Espacio de EE. UU. (NASA) ha revelado cómo un ciudadano chino se hizo pasar por un investigador estadounidense como parte de una campaña de spear-phishing para obtener información confidencial de la agencia espacial, así como de entidades gubernamentales, universidades y empresas privadas, infringiendo las leyes de control de exportaciones.

“Durante años, los empleados de la NASA y los colaboradores en la investigación pensaban que simplemente estaban compartiendo software con sus colegas”, afirmó la OIG en un comunicado emitido el jueves. “En realidad, estaban enviando por correo electrónico tecnología de defensa sensible a un ciudadano chino que se hacía pasar por ingenieros estadounidenses”.

La persona vinculada a la campaña fue identificada como el ciudadano chino Song Wu en septiembre de 2024, cuando el Departamento de Justicia de EE. UU. (DoJ) anunció los cargos contra él por orquestar una estafa de phishing de varios años que se prolongó desde enero de 2017 hasta diciembre de 2021 y que tuvo como objetivo a docenas de profesores, investigadores e ingenieros estadounidenses.

Algunas de las víctimas de la campaña trabajaban en la NASA, la Fuerza Aérea, la Armada, el Ejército y la Administración Federal de Aviación, mientras que otras trabajaban en importantes universidades y empresas del sector privado.

“A medida que las campañas de phishing se vuelven cada vez más sofisticadas, existen indicios comunes que pueden delatar a los estafadores y poner al descubierto sus tramas de fraude en materia de exportación”, afirmó la OIG. “En el caso de Song, realizó múltiples solicitudes del mismo software y no justificó por qué lo necesitaba”.

Noticia TheHackerNews

Ver historial de Publicaciones