Home Ciberguerra El Comando Cibernético de EE.UU. advierte sobre debilidades de Outlook

El Comando Cibernético de EE.UU. advierte sobre debilidades de Outlook

El Comando Cibernético de Estados Unidos advirtió, a través de Twitter que los atacantes están intentando explotar una vulnerabilidad más antigua de Microsoft Outlook para plantar troyanos de acceso remoto u otros tipos de malware dentro de las redes gubernamentales. Recomienda el parcheo inmediato de la vulnerabilidad.

Esta vulnerabilidad particular de Outlook, conocida como CVE-2017-11774, se descubrió por primera vez en 2017, y Microsoft publicó un parche para ella en octubre de ese año. Sin embargo, desde entonces, los investigadores de seguridad han advertido que los atacantes siguen aprovechando este fallo y pueden ejecutar comandos arbitrarios en sistemas infectados para propagar malware o causar otro tipo de daños a dispositivos basados en Windows sin parchear.

Aunque el mensaje del Comando Cibernético no ofreció muchos detalles, algunos investigadores de seguridad, incluyendo analistas de Chronicle – el brazo de ciberseguridad de Alphabet – sospechan que este último ataque está relacionado con la actividad de un grupo de amenaza persistente y avanzado conocido como APT33, que también se conoce como Shamoon.

En una investigación que FireEye publicó en 2017, los analistas descubrieron que la APT33 tiene posibles vínculos con la inteligencia iraní y que anteriormente se había dirigido a empresas aeroespaciales y energéticas de Oriente Medio.

En las últimas dos semanas, la Agencia de Ciberseguridad e Infraestructura del Departamento de Seguridad Nacional de Estados Unidos, ha advertido sobre un aumento del espionaje y la actividad cibernética iraní, incluyendo el uso creciente de los llamados ataques de “limpiaparabrisas” que hacen inutilizables los ordenadores.

Uno de los mayores ataques jamás registrados, tuvo como víctima al gigante petrolero Saudi Aramco en 2012. En ese caso, los atacantes utilizaron malware también llamado Shamoon, que ha aparecido en otros ataques a lo largo de los últimos años.

A pesar de que los investigadores han estudiado las conexiones entre el APT33 y el despliegue del malware del limpiaparabrisas Shamoon a lo largo de los años, nunca se ha establecido una relación exacta entre ambos.

Sin embargo, tras la última advertencia del gobierno de Estados Unidos, Brandon Levene, jefe de inteligencia aplicada de Chronicle, descargó las muestras publicadas por Cyber Command y determinó que parte del código malicioso tiene similitudes con el malware Shamoon encontrado por otros investigadores en 2017. Esto es también más o menos al mismo tiempo que los investigadores se dieron cuenta de la vulnerabilidad del CVE-2017-11774.

En los ataques Shamoon y en los exploits CVE-23017-11774, los descargadores utilizan PowerShell para cargar Pupy, un troyano o RAT de acceso remoto multiplataforma de código abierto, dice Levene.

Además, el código malicioso publicado por Cyber Command muestra que el ataque que explota CVE-2017-11774 carga tres herramientas maliciosas que probablemente se utilizan para la manipulación de un servidor web explotado, según Levene. Cada herramienta tiene un propósito ligeramente diferente, pero el atacante tiene la capacidad de interactuar con los servidores que puede haber comprometido, lo que puede permitir la propagación de malware y otras actividades maliciosas, dice Levene.

“APT33 utilizó una herramienta llamada Ruler de Senspost, que incluye un mecanismo para abusar de CVE-2017-11774, que es una vulnerabilidad de escape de caja de arena”, dice Levene a Information Security Media Group. “Cuando se usa junto con otras herramientas y técnicas, este tipo de vulnerabilidad permite la ejecución arbitraria de código.”

Levene y su equipo creen que hay vínculos entre el APT33 y otro grupo apoyado por Irán llamado MagicHound, que utiliza técnicas similares, incluyendo el Pupy RAT.

“Asumiendo que el momento no sea coincidente, esto indicaría un vínculo más concreto entre lo que antes se clasificaba como un nexo iraní separado de actores estatales en MagicHound, que es la etiqueta para este grupo amenazador de Palo Alto Networks Researchers, y lo que se clasifica como APT33”, dijo Levene a Information Security Media Group.

Las últimas advertencias llegan en un momento en que otras empresas de seguridad han tomado nota de la creciente actividad de APT33.

Con información de: Canaltech.