El grupo de hackers utiliza Solaris zero-day para violar las redes corporativas

Mandiant, la unidad de investigaciones de la firma de seguridad FireEye, ha publicado hoy detalles sobre un nuevo actor de amenazas al que llama UNC1945 que la firma de seguridad dice que utilizó una vulnerabilidad de día cero en el sistema operativo Oracle Solaris como parte de sus intrusiones en las redes corporativas. Los objetivos habituales de los ataques de UNC1945 incluían empresas como las de telecomunicaciones, financieras y de consultoría, dijo el equipo de Mandiant en un informe publicado hoy. Si bien la actividad de UNC1945 se remonta a 2018, Mandiant dijo que el grupo les llamó la atención a principios de este año después de que el actor de amenazas utilizó una vulnerabilidad nunca antes vista en el sistema operativo Oracle Solaris.
Registrado como CVE-2020-14871, el día cero fue una vulnerabilidad en el Módulo de autenticación conectable de Solaris (PAM) que permitió a UNC1945 omitir los procedimientos de autenticación e instalar una puerta trasera llamada SLAPSTICK en servidores Solaris expuestos a Internet. Mandiant dijo que los piratas informáticos utilizaron esta puerta trasera como un punto de entrada para lanzar operaciones de reconocimiento dentro de las redes corporativas y moverse lateralmente a otros sistemas. Para evitar la detección, Mandiant dijo que el grupo descargó e instaló una máquina virtual QEMU que ejecuta una versión del sistema operativo Tiny Core Linux.
Esta VM Linux hecha a medida venía preinstalada con varias herramientas de piratería como escáneres de red, dumpers de contraseñas, exploits y kits de herramientas de reconocimiento que permitieron a UNC1945 escanear la red interna de una empresa en busca de debilidades y moverse lateralmente a múltiples sistemas, independientemente de si ejecutaban Windows o * Sistemas basados ​​en NIX. Imagen: FireEye Mandiant dijo que observó que el grupo usaba una variedad de herramientas de seguridad y pruebas de penetración de código abierto, pero también cepas de malware personalizadas. Los kits de herramientas de código abierto incluían equipos como Mimikatz, Powersploit, Responder, Procdump, CrackMapExec, PoshC2, Medusa y JBoss Vulnerability Scanner, todos conocidos en la industria de la seguridad cibernética.
Pero UNC1945 también mostró la capacidad de crear y operar malware personalizado, con Mandiant vinculando las intrusiones UNC1945 con cepas de malware (nuevas y antiguas) como: Mandiant dijo que cree que UNC1945 compró EVILSUN (la herramienta que les permitió explotar el día cero de Solaris y colocar la puerta trasera SLAPSTICK) de un foro público de piratería. La compañía dijo que identificó un anuncio en abril de 2020 en un sitio web del mercado negro que promocionaba un "Exploit de raíz remota SSHD de Oracle Solaris" por $ 3,000. Mandiant dijo que informó el día cero de Solaris a Oracle a principios de este año, después de descubrir rastros de explotación durante una investigación.
El día cero (CVE-2020-14871) fue parcheado el mes pasado en los parches de seguridad de octubre de 2020 de Oracle. Mandiant dijo que si bien UNC1945 ha estado activo durante varios años, detectó el día cero de Solaris en una violación confirmada; sin embargo, esto no significa que el día cero no se haya aprovechado contra otras redes corporativas. La firma de seguridad dijo que "no observó evidencia de exfiltración de datos y no pudo determinar la misión de UNC1945 para la mayoría de las intrusiones que [ellos] investigaron". En una intrusión de UNC1945, el ransomware se implementó como una carga útil final, pero Mandiant no pudo vincular el ataque de ransomware a UNC1945 directamente y "es probable que el acceso al entorno de la víctima se vendiera a otro grupo". Los indicadores de compromiso y otros detalles técnicos que describen las operaciones de la UNC1945 y los patrones de intrusión están disponibles para los defensores en el informe de Mandiant aquí. pag VER GALERÍA COMPLETA.