Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Identificación De Campaña De Phishing Relacionada Con Crowdstrike Y Su Afectación A Sistemas Operativos WindowsEl equipo de analistas del Csirt Financiero ha detectado una campaña de phishing que suplanta la identidad de CrowdStrike, la reconocida empresa de ciberseguridad, aprovechando la reciente falla global que afectó sus servicios el día de hoy.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/identificacion-de-campana-de-phishing-relacionada-con-crowdstrike-y-su-afectacion-a-sistemas-operativos-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha detectado una campaña de phishing que suplanta la identidad de CrowdStrike, la reconocida empresa de ciberseguridad, aprovechando la reciente falla global que afectó sus servicios el día de hoy.
IDAT loader utilizado por el grupo UAC-0184 para distribuir RemcosRATRecientemente se ha detectado una campaña maliciosa vinculada al actor de amenazas conocido como UAC-0184, en la que los ciberdelincuentes han distribuido el troyano de acceso remoto RemcosRAT a través del loader IDAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/idat-loader-utilizado-por-el-grupo-uac-0184-para-distribuir-remcosrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha detectado una campaña maliciosa vinculada al actor de amenazas conocido como UAC-0184, en la que los ciberdelincuentes han distribuido el troyano de acceso remoto RemcosRAT a través del loader IDAT.
IceXLoader retorna con una nueva actualizaciónIceXLoader es conocido en el ecosistema de ciberseguridad por ser utilizado como un cargador que implementa diversas familias de malware en las campañas maliciosas de los ciberdelincuentes; además, es distribuido a través de foros clandestinos de la Deep y Dark web por el precio de 118 dólares, otorgando una licencia de por vida, lo cual permite que los usuarios puedan usarlo las veces que lo requieran. Anteriormente, se había evidenciado que en su versión 3.0 se encontraba en fase de desarrollo al observar sus comportamientos y actividades.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/icexloader-retorna-con-una-nueva-actualizacionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
IceXLoader es conocido en el ecosistema de ciberseguridad por ser utilizado como un cargador que implementa diversas familias de malware en las campañas maliciosas de los ciberdelincuentes; además, es distribuido a través de foros clandestinos de la Deep y Dark web por el precio de 118 dólares, otorgando una licencia de por vida, lo cual permite que los usuarios puedan usarlo las veces que lo requieran. Anteriormente, se había evidenciado que en su versión 3.0 se encontraba en fase de desarrollo al observar sus comportamientos y actividades.
IcedID apunta a dominios de Active DirectoryIceID, en una de sus más recientes campañas maliciosas, se evidenció nuevos comportamientos que llevaron a cabo los actores de amenaza para afectar el dominio de Active Directory de un sistema informático, para esto, utilizaron múltiples técnicas de reconocimiento, recopilación de credenciales, movimiento lateral y la implementación de herramientas legitimas como Cobalt Strike.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/icedid-apunta-a-dominios-de-active-directoryhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
IceID, en una de sus más recientes campañas maliciosas, se evidenció nuevos comportamientos que llevaron a cabo los actores de amenaza para afectar el dominio de Active Directory de un sistema informático, para esto, utilizaron múltiples técnicas de reconocimiento, recopilación de credenciales, movimiento lateral y la implementación de herramientas legitimas como Cobalt Strike.
Hojas de cálculo Excel implementadas en campañas de malwareEn el monitoreo realizado por el Csirt Financiero, se ha identificado la implementación de macros maliciosas en documentos de Microsoft Office Excel para la distribución de malware conocidos como SystemBC y Cobalt Strike. Según las investigaciones que se han realizado a estos documentos maliciosos, permite determinar que han sido propagados mediante campañas de distribución de mensajes de correo electrónico que contienen archivos adjuntos, los cuales, al descargar, descomprimir, acceder y habilitar las macros con contenido malicioso, ejecutan la infección en los equipos de cómputo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/hojas-de-calculo-excel-implementadas-en-campanas-de-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado la implementación de macros maliciosas en documentos de Microsoft Office Excel para la distribución de malware conocidos como SystemBC y Cobalt Strike. Según las investigaciones que se han realizado a estos documentos maliciosos, permite determinar que han sido propagados mediante campañas de distribución de mensajes de correo electrónico que contienen archivos adjuntos, los cuales, al descargar, descomprimir, acceder y habilitar las macros con contenido malicioso, ejecutan la infección en los equipos de cómputo.
Hoaxcalls, botnet que aprovecha vulnerabilidades en dispositivos Grandstream y DrayTekEl equipo del Csirt Financiero ha identificado una forma en que la botnet Hoaxcalls utiliza las capacidades físicas de routers y dispositivos que proveen sistemas telefónicos para realizar ataques DDoS, utiliza para este propósito, exploits de las vulnerabilidades CVE-2020-8515 y CVE-2020-5722 que se encuentran en dichos dispositivos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/hoaxcalls-botnet-que-aprovecha-vulnerabilidades-en-dispositivos-grandstream-y-draytekhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una forma en que la botnet Hoaxcalls utiliza las capacidades físicas de routers y dispositivos que proveen sistemas telefónicos para realizar ataques DDoS, utiliza para este propósito, exploits de las vulnerabilidades CVE-2020-8515 y CVE-2020-5722 que se encuentran en dichos dispositivos.
Hidden Cobra y el RAT BlindingcanEn el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza relacionada con malware de tipo Troyano de Acceso Remoto (RAT) denominado BLINDINGCAN, la cual está asociada al grupo APT Hidden Cobra.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/hidden-cobra-y-el-rat-blindingcanhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza relacionada con malware de tipo Troyano de Acceso Remoto (RAT) denominado BLINDINGCAN, la cual está asociada al grupo APT Hidden Cobra.
Hidden Cobra implementa nuevos malware en sus ataquesEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad del grupo cibercriminal Hidden Cobra también conocido como Lazarus que ha implementado nuevo malware durante la ejecución de sus ataques. En este caso se han identificado y relacionado dos tipos de malware denominados Torisma y LCPDot.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/hidden-cobra-implementa-nuevos-malware-en-sus-ataqueshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad del grupo cibercriminal Hidden Cobra también conocido como Lazarus que ha implementado nuevo malware durante la ejecución de sus ataques. En este caso se han identificado y relacionado dos tipos de malware denominados Torisma y LCPDot.
Herramientas utilizadas por el malware EvilnumEn el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado la implementación de nuevas herramientas en el arsenal de EVILNUM, las cuales pueden ser utilizadas para la captura y exfiltración de informaciónhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/herramientas-utilizadas-por-el-malware-evilnumhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado la implementación de nuevas herramientas en el arsenal de EVILNUM, las cuales pueden ser utilizadas para la captura y exfiltración de información
Herramienta MSBuild usada por cibercriminales para ejecutar malware en memoriaEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una nueva técnica empleada por los cibercriminales para la ejecución de RemcosRAT, QuasarRAT o Redline Stealer.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/herramienta-msbuild-usada-por-cibercriminales-para-ejecutar-malware-en-memoriahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una nueva técnica empleada por los cibercriminales para la ejecución de RemcosRAT, QuasarRAT o Redline Stealer.
Herramienta FinSpy utilizada con fines cibercriminalesEn el monitoreo realizado a fuentes abiertas de información para la búsqueda de nuevas amenazas o vulnerabilidades que puedan generar impacto en la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha observado un nuevo spyware multiplataforma dirigido a sistemas operativos Windows, Linux y dispositivos móviles.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/herramienta-finspy-utilizada-con-fines-cibercriminaleshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información para la búsqueda de nuevas amenazas o vulnerabilidades que puedan generar impacto en la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha observado un nuevo spyware multiplataforma dirigido a sistemas operativos Windows, Linux y dispositivos móviles.
Herramienta EtterSilent utilizada para diseñar maldocEn el monitoreo realizado por el equipo del Csirt Financiero, se ha observado la existencia de una nueva herramienta encargada de diseñar y generar archivos maliciosos para propagar diferentes familias de malware como por ejemplo Bazar Loader y TrickBot.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/herramienta-ettersilent-utilizada-para-disenar-maldochttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero, se ha observado la existencia de una nueva herramienta encargada de diseñar y generar archivos maliciosos para propagar diferentes familias de malware como por ejemplo Bazar Loader y TrickBot.
Herramienta de simulación para ataques cibernéticosMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos artefactos relacionados a CobaltStrike.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/herramienta-de-simulacion-para-ataques-ciberneticoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos artefactos relacionados a CobaltStrike.
HelloTDS distribuye FakeCaptcha y troyanos a escala globalDurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña activa que utiliza la infraestructura maliciosa conocida como HelloTDS, empleada para distribuir amenazas como FakeCaptcha y otros componentes maliciosos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/hellotds-distribuye-fakecaptcha-y-troyanos-a-escala-globalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña activa que utiliza la infraestructura maliciosa conocida como HelloTDS, empleada para distribuir amenazas como FakeCaptcha y otros componentes maliciosos.
Guía de seguridad LockerGogaLockerGoga, aprovecha un proceso de cifrado para eliminar la capacidad de acceder a archivos y otros datos que pueden almacenarse en sistemas infectados, luego muestra una nota de rescate exigiendo el pago de bitcoin.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/guia-de-seguridad-lockergogahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
LockerGoga, aprovecha un proceso de cifrado para eliminar la capacidad de acceder a archivos y otros datos que pueden almacenarse en sistemas infectados, luego muestra una nota de rescate exigiendo el pago de bitcoin.
Grupos APT Fin8 y Stac4663 aprovechan vulnerabilidad critica en productos de CitrixRecientemente el equipo del Csirt financiero observó un aumento en los ataques donde diversos grupos de ciberdelincuentes se encuentran explotando la vulnerabilidad CVE-2023-3519 que previamente había sido reportada el mes de julio mediante una Tailored Threat Analysis (TTA) identificada con el ticket I-009510 en donde se dio a conocer la afectación a más de 2.000 productos NetScaler ADC y NetScaler Gateway.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupos-apt-fin8-y-stac4663-aprovechan-vulnerabilidad-critica-en-productos-de-citrixhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente el equipo del Csirt financiero observó un aumento en los ataques donde diversos grupos de ciberdelincuentes se encuentran explotando la vulnerabilidad CVE-2023-3519 que previamente había sido reportada el mes de julio mediante una Tailored Threat Analysis (TTA) identificada con el ticket I-009510 en donde se dio a conocer la afectación a más de 2.000 productos NetScaler ADC y NetScaler Gateway.
Grupo Ultrarank apunta a sitios de comercio electrónicoEn el monitoreo realizado por el Csirt Financiero, se ha identificado la existencia de un grupo cibercriminal conocido como UltraRank, este grupo recientemente ha realizado una docena de campañas dirigidas a sitios de comercio electrónico para exfiltrar los datos de tarjetas crédito y débito haciendo uso de un rastreador JavaScript.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-ultrarank-apunta-a-sitios-de-comercio-electronicohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado la existencia de un grupo cibercriminal conocido como UltraRank, este grupo recientemente ha realizado una docena de campañas dirigidas a sitios de comercio electrónico para exfiltrar los datos de tarjetas crédito y débito haciendo uso de un rastreador JavaScript.
Grupo Tropic Trooper utiliza USBFerry en entornos Air gappedEn el constante monitoreo que realiza el Csirt Financiero, evidenció investigación relacionada con el grupo cibercriminal Tropic Trooper, el cual está empleando dispositivos USB para realizar ataques a infraestructuras de tipo air gapped, con el fin de exfiltrar información confidencialhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-tropic-trooper-utiliza-usbferry-en-entornos-air-gappedhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el Csirt Financiero, evidenció investigación relacionada con el grupo cibercriminal Tropic Trooper, el cual está empleando dispositivos USB para realizar ataques a infraestructuras de tipo air gapped, con el fin de exfiltrar información confidencial
Grupo TA551 distribuye framework Sliver para acceso inicialEn el monitoreo realizado a fuentes abiertas de información y en la búsqueda de nuevas amenazas o vulnerabilidades que puedan generar impacto en la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha identificado una campaña por parte del grupo TA551 conocido también como Shathak. Este grupo se enfoca en obtener acceso inicial a los sistemas objetivo, recientemente han utilizado el framework de simulación de adversarios y Red Team llamado SLIVER.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-ta551-distribuye-framework-sliver-para-acceso-inicialhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información y en la búsqueda de nuevas amenazas o vulnerabilidades que puedan generar impacto en la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha identificado una campaña por parte del grupo TA551 conocido también como Shathak. Este grupo se enfoca en obtener acceso inicial a los sistemas objetivo, recientemente han utilizado el framework de simulación de adversarios y Red Team llamado SLIVER.
Grupo TA2101 (campaña de distribución de IcedID y MAZE)A través del observatorio de amenazas del CSIRT Financiero, se ha identificado actividad reciente acerca de un nuevo grupo denominado TA2101. Este nuevo APT, ha protagonizado una serie de campañas de tipo malspam y phishing, utilizando la imagen de entidades y organizaciones de Alemania, Italia y Estados Unidos. Hasta el momento no se tiene estipulado a que línea de usuarios buscan afectar, no obstante, han utilizado variantes del ransomware Maze y el troyano bancario IcedID en sus campañas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-ta2101-campana-de-distribucion-de-icedid-y-mazehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del observatorio de amenazas del CSIRT Financiero, se ha identificado actividad reciente acerca de un nuevo grupo denominado TA2101. Este nuevo APT, ha protagonizado una serie de campañas de tipo malspam y phishing, utilizando la imagen de entidades y organizaciones de Alemania, Italia y Estados Unidos. Hasta el momento no se tiene estipulado a que línea de usuarios buscan afectar, no obstante, han utilizado variantes del ransomware Maze y el troyano bancario IcedID en sus campañas.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}