En la actualidad, la explotación de vulnerabilidades en activos expuestos públicamente, como VPN y firewalls, se ha convertido en un vector de ataque común. Muchos incidentes de seguridad reportados a JPCERT/CC involucran estos dispositivos, siendo objeto de ataques no solo por parte de grupos de Amenaza Persistente Avanzada (APT), sino también por ciberdelincuentes y ransomware. Esto ha resultado en un aumento significativo de incidentes, lo que a menudo lleva a que las contramedidas para otros vectores de ataque sean pasadas por alto.
Los atacantes utilizan diversos métodos para llevar a cabo sus ataques, incluyendo correos electrónicos, sitios web y redes sociales. Un análisis de los incidentes dirigidos confirmados por JPCERT/CC entre 2023 y 2024 muestra cómo se utilizan múltiples métodos para infiltrarse en las redes. Entre los incidentes tratados, se describen dos casos de ataques a "abrevaderos" en Japón, destacando un episodio que involucró a un sitio web de un laboratorio de investigación en 2023.
Flujo del ataque
El ataque a este abrevadero se realiza a través de un sitio web manipulado que muestra una pantalla de actualización falsa de Adobe Flash Player. Cuando un usuario descarga y ejecuta el archivo según las instrucciones, su computadora se infecta con malware. Este ataque es notable porque, en lugar de aprovechar vulnerabilidades del sistema, se basó en técnicas de ingeniería social para inducir a los usuarios a que instalaran el malware voluntariamente.
El malware descargado, conocido como FlashUpdateInstall.exe, simula un documento que indica que la actualización de Flash Player se completó correctamente. Este archivo también genera un malware principal (system32.dll), que se inyecta en el proceso Explorer. Este archivo DLL se modificó de tal manera que contenía una marca de agua única, lo que sugiere el uso de herramientas conocidas de ataque como Cobalt Strike, en este caso, la versión 4.5.
Ejemplos de ataques del mismo grupo
No se sabe exactamente qué grupo perpetró este ataque, pero el servidor de comando y control (C2) estaba alojado en Cloudflare Workers. La investigación ha confirmado que el mismo atacante ha llevado a cabo otras operaciones maliciosas. Los métodos utilizados incluyen también la suplantación de documentos del gobierno como señuelos y la inclusión de funciones avanzadas en el malware, como opciones de configuración durante la ejecución.
Además, el malware tiene capacidades de evasión de análisis y puede finalizar procesos de antivirus, lo que muestra un nivel de sofisticación en la estrategia de ataque del grupo.
Conclusión
Estos incidentes resaltan la importancia de considerar todos los vectores de ataque al implementar medidas de seguridad. A medida que los ataques se vuelven más complejos y variados, es crucial no solo enfocarse en las vulnerabilidades más vistas, sino también entender las técnicas de ingeniería social y otros enfoques que los atacantes pueden utilizar. La parte 2 continuará explorando más casos relevantes de ataques por abrevaderos, proveyendo una perspectiva más detallada sobre las prácticas de seguridad que deben adoptarse para mitigar estos riesgos en un panorama de amenazas en constante evolución.
A través de investigaciones como estas, los profesionales de seguridad pueden aprender de incidentes previos y fortalecer sus defensas contra futuras amenazas.