Un grupo de piratas informáticos descubierto recientemente, llamado UNC1945, Se ha descubierto que utiliza una vulnerabilidad de día cero desconocida anteriormente contra equipos con sistema operativo Solaris.
El sistema operativo propiedad de Oracle es utilizado predominantemente por grandes empresas en configuraciones empresariales complejas.. Sin embargo, este error de día cero ha permitido a los delincuentes inmiscuirse en las redes internas. Toda la información disponible se rastrea en el aviso CVE-2020-14871 y es monitoreada por la comunidad de seguridad.
El grupo de piratería UNC1945 va contra los sistemas Solaris con seguimiento de errores de día cero en CVE-2020-14871
El sistema operativo Solaris es un servicio empresarial que se implementa principalmente en redes empresariales complejas.. Se basa en una estructura tradicional similar a UNIX y, como tal, se puede utilizar para diversos fines.: realizar cálculos complejos, administrar la configuración de la red, o sirviendo datos.
Se ha descubierto que el grupo de piratería conocido como UNC1945 aprovecha diferentes tipos de ataques contra los servidores Solaris que están detrás de las redes corporativas.. En este momento no se sabe mucho sobre los hackers., excepto por el hecho de que han logrado utilizar una vulnerabilidad previamente desconocida, referido como error de día cero. El informe de seguridad que indica esta peligrosa violación proviene del equipo de investigación de Mandiant. Los ataques contra entornos similares van en aumento. Recientemente informamos que grupos de piratería se han dirigido a dispositivos Synology. Su sistema operativo es un derivado de una distribución de Linux..
El punto de intrusión es eludir el procedimiento de autenticación utilizado por el sistema operativo., la falla fue detectada por los delincuentes y les ha permitido instalar un módulo de puerta trasera llamado PAYASADAS en los sistemas. Se activa automáticamente después de que ha comenzado la infección., y ejecutará acciones propias. Las computadoras objetivo fueron aquellas que están expuestas a una Internet más amplia..
Sin embargo, en lugar de continuar con la intrusión como la mayoría de las otras amenazas de esta categoría, los piratas informáticos han dado instrucciones al malware para que continúe de una manera diferente y mucho más dañina.
Los piratas informáticos UNC1945 utilizan una técnica de infección complicada contra los hosts Solaris
En lugar de continuar con las infecciones aprovechando la puerta trasera SLAPSTICK para crear una conexión persistente con el servidor controlado por piratas informáticos, los hackers han optado por ir por otra ruta. Los grupos de piratería parecen apuntar a objetivos de alto perfil, ya que han creado una muy compleja procedimiento de bypass de seguridad que está diseñado para superar las medidas de protección tomadas por el sistema y los programas instalados por el usuario: escaneos anti-malware, cortafuegos, y sistemas de detección de intrusos. Para evitar la detección, la secuencia maliciosa descargará e instalará un host de máquina virtual QEMU. Dentro de eso, se ejecutará una imagen creada por un pirata informático de una distribución de Linux.
Esta máquina virtual será accesible para los delincuentes y ya que está preconfigurada por ellos, les permitirá ejecutar todos los contenidos dentro de las utilidades. El análisis descubrió que están llenos de escáneres de red., programas de descifrado de contraseñas, y otras hazañas. La máquina virtual estará expuesta al sistema host y permitirá a los piratas informáticos ejecutar comandos en su contra., así como otras computadoras que están disponibles en la red interna. El factor peligroso es que los ataques pueden ser contra todo tipo de sistemas operativos, incluyendo Microsoft Windows y otros sistemas basados en UNIX.
Las posibles consecuencias de la intrusión incluyen las siguientes acciones maliciosas:
- Eliminación de registros — Se utiliza un programa de malware especial para eliminar los registros de las acciones del virus..
- Fuerza Bruta Lateral — Desde la máquina virtual instalada, los piratas informáticos pueden continuar más “agrietamiento” otras computadoras en la red interna usando las herramientas implementadas.
- Acceso a archivos — Todos los datos accesibles por el malware pueden ser robados por los piratas informáticos.
- Control — Los piratas informáticos pueden tomar el control de los hosts y espiar directamente a los usuarios..
En este momento se cree que los piratas informáticos UNC1945 han comprado el exploit de un vendedor de un mercado clandestino. La herramienta que usaron los hackers (EVILSUN) probablemente se adquiere de estos lugares, permitió a los delincuentes ejecutar el exploit y plantar la puerta trasera.
Por supuesto, siguiendo las noticias de esta actividad de malware, Oracle solucionó el problema en octubre 2020 boletín de actualizaciones de seguridad. Por el momento no hay información sobre la cantidad de hosts infectados. Se insta a todos los administradores de Solaris a que apliquen las últimas actualizaciones para evitar que los piratas informáticos intenten explotar sus sistemas..
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: