Nuevo grupo de piratas informáticos que explotan activamente el error de día cero en el sistema operativo Oracle Solaris

El ala de investigación de FireEye, Mandiant, documentó un nuevo grupo de delitos cibernéticos llamado UNC1945, que está explorando activamente un día cero en el sistema operativo Solaris de Oracle. El grupo descubrió la instalación de una puerta trasera para movimiento lateral y un QEMU VM para evitar la detección. Oracle ya ha lanzado un parche para la vulnerabilidad de día cero que está explotando UNC1945.

Uso de herramientas de exploración gratuitas y personalizadas

Nuevo grupo de piratas informáticos que explotan activamente el error de día cero en el sistema operativo Oracle Solaris
Nuevo grupo de piratas informáticos que explotan activamente el error de día cero en el sistema operativo Oracle Solaris

Mandiant, una unidad de investigación de FireEye, una empresa de ciberseguridad, publicó un informe sobre un nuevo actor de amenazas llamado UNC1945. Las actividades del grupo se remontan a 2018, centradas en las áreas de telecomunicaciones, consultoría y finanzas. Mandiant comenzó a tener una visión seria a partir de este año, donde se descubrió que estaba apuntando a un error en SO Solaris de Oracle.

Eso es informó UNC1945 utiliza una combinación de herramientas de explotación personalizadas y de código abierto, lo que les permite solucionar el error e instalar una puerta trasera. La vulnerabilidad de día cero a la que apuntan está en Módulo de autenticación conectable de Solaris (PAM). Seguimiento como CVE-2020-14871, llevó a los actores de amenazas a eludir los procedimientos de autenticación e instalar un Puerta trasera SLAPSTICK.

Y para evitar ser detectado, el grupo está llevando a cabo este proceso a través de un Máquina virtual QEMU que viene integrado con los paquetes de exploración y se ejecuta en el sistema operativo Tiny Core Linux. Dado que ejecutar un escaneo en una máquina virtual significa seguridad, continúa expandiéndose horizontalmente a través de la red.

Inicialmente, el grupo escanea Internet en busca de servidores con sistemas operativos Solaris débiles e implementa herramientas para iniciar sesión. Los investigadores dijeron que las herramientas que utilizaron aquí son en su mayoría de código abierto, como Responder, Procdump, CrackMapExec, Powersploit, PoshC2, JBoss Vulnerability Scanner, Medusa, y Mimikatz. Además, algunas herramientas personalizadas, como EVILSUN, LEMONSTICK, LOGBLEACH, OPENSHACKLE, STEELCORGI, y PAYASADAS.

Mandiant dijo que el exploit para este día cero podría haber sido introducido por UNC1945 de darknet, ya que vieron un anuncio en un sitio web del mercado negro en abril de este año, que se está vendiendo «Explotación raíz remota de Oracle Solaris SSHD» por $ 3,000. Informaron esta vulnerabilidad a Oracle de inmediato, y el fabricante lanzó un parche también, pero no todos lo hicieron. Por lo tanto, continúan las exploraciones.

Artículos relacionados