\n<\/aside>\n<\/p>\n
Los piratas inform\u00e1ticos han estado explotando una vulnerabilidad ahora parcheada en VMware Workspace ONE Access en campa\u00f1as para instalar varios ransomware y mineros de criptomonedas, dijo el jueves un investigador de la firma de seguridad Fortinet.<\/p>\n
CVE-2022-22954 es una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo en VMware Workspace ONE Access que tiene una clasificaci\u00f3n de gravedad de 9,8 de 10 posibles. VMware revel\u00f3 y parch\u00f3 la vulnerabilidad el 6 de abril. En 48 horas, los piratas inform\u00e1ticos aplicaron ingenier\u00eda inversa a la actualizaci\u00f3n y desarroll\u00f3 un exploit funcional que luego usaron para comprometer los servidores que a\u00fan ten\u00edan que instalar la soluci\u00f3n. El acceso a VMware Workspace ONE ayuda a los administradores a configurar un conjunto de aplicaciones que los empleados necesitan en sus entornos de trabajo.<\/p>\n
En agosto, los investigadores de Fortiguard Labs observaron un aumento repentino en los intentos de explotaci\u00f3n y un cambio importante en las t\u00e1cticas. Mientras que antes de que los piratas inform\u00e1ticos instalaran cargas \u00fatiles que recogieran contrase\u00f1as y recopilaran otros datos, la nueva oleada trajo algo m\u00e1s, espec\u00edficamente, ransomware conocido como RAR1ransom, un minero de criptomonedas conocido como GuardMiner, y Mirai, software que acorrala dispositivos Linux en una botnet masiva para usar en Ataques distribuidos de denegaci\u00f3n de servicio.<\/p>\n\nFortiGuardia<\/p>\n<\/figcaption><\/figure>\n
\u201cAunque la vulnerabilidad cr\u00edtica CVE-2022-22954 ya se parch\u00f3 en abril, todav\u00eda hay varias campa\u00f1as de malware que intentan explotarla\u201d, escribi\u00f3 Cara Lin, investigadora de Fortiguard Labs. Los atacantes, agreg\u00f3, lo estaban usando para inyectar una carga \u00fatil y lograr la ejecuci\u00f3n remota de c\u00f3digo en los servidores que ejecutan el producto.<\/p>\n
\n Anuncio publicitario <\/span> <\/p>\n<\/aside>\nLa muestra de Mirai que Lin vio que se instal\u00f3 se descarg\u00f3 de http[:]\/\/107[.]189[.]8[.]21\/pedalcheta\/chiquita[.]x86_64 y depend\u00eda de un servidor de comando y control en \u201ccnc[.]buenos paquetes[.]CC. Adem\u00e1s de entregar tr\u00e1fico basura usado en DDoSes, la muestra tambi\u00e9n intent\u00f3 infectar otros dispositivos al adivinar la contrase\u00f1a administrativa que usaron. Despu\u00e9s de decodificar cadenas en el c\u00f3digo, Lin encontr\u00f3 la siguiente lista de credenciales que us\u00f3 el malware:<\/p>\n
\n
\n\n\n\nhikvision<\/p>\n<\/td>\n
\n1234<\/p>\n<\/td>\n
\nventanas1ventanas<\/p>\n<\/td>\n
\nS2fGqNFs<\/p>\n<\/td>\n<\/tr>\n
\n\nra\u00edz<\/p>\n<\/td>\n
\ntsgoingon<\/p>\n<\/td>\n
\nbrillo nuevo<\/p>\n<\/td>\n
\n12345<\/p>\n<\/td>\n<\/tr>\n
\n\ndefecto<\/p>\n<\/td>\n
\nsolokey<\/p>\n<\/td>\n
\nnuevonaranja88888888<\/p>\n<\/td>\n
\ninvitado<\/p>\n<\/td>\n<\/tr>\n
\n\ncompartimiento<\/p>\n<\/td>\n
\nusuario<\/p>\n<\/td>\n
\nnuevo orang<\/p>\n<\/td>\n
\nsistema<\/p>\n<\/td>\n<\/tr>\n
\n\n059AnkJ<\/p>\n<\/td>\n
\nadministrador de telnet<\/p>\n<\/td>\n
\ntljwpbo6<\/p>\n<\/td>\n
\niwkb<\/p>\n<\/td>\n<\/tr>\n
\n\n141388<\/p>\n<\/td>\n
\n123456<\/p>\n<\/td>\n
\n20150602<\/p>\n<\/td>\n
\n00000000<\/p>\n<\/td>\n<\/tr>\n
\n\nadaptec<\/p>\n<\/td>\n
\n20080826<\/p>\n<\/td>\n
\nvstarcam2015<\/p>\n<\/td>\n
\nv2mprt<\/p>\n<\/td>\n<\/tr>\n
\n\nAdministrador<\/p>\n<\/td>\n
\n1001barbilla<\/p>\n<\/td>\n
\nvhd1206<\/p>\n<\/td>\n
\napoyo<\/p>\n<\/td>\n<\/tr>\n
\n\nNULO<\/p>\n<\/td>\n
\nxc3511<\/p>\n<\/td>\n
\nQwestM0dem<\/p>\n<\/td>\n
\n7ujMko0admin<\/p>\n<\/td>\n<\/tr>\n
\n\ncliente-bbsd<\/p>\n<\/td>\n
\nvizxv<\/p>\n<\/td>\n
\nfidel123<\/p>\n<\/td>\n
\ndvr2580222<\/p>\n<\/td>\n<\/tr>\n
\n\npar0t<\/p>\n<\/td>\n
\nhg2x0<\/p>\n<\/td>\n
\nSamsung<\/p>\n<\/td>\n
\nt0talc0ntr0l4!<\/p>\n<\/td>\n<\/tr>\n
\n\ncablecom<\/p>\n<\/td>\n
\ncaza5759<\/p>\n<\/td>\n
\nenrutador<\/p>\n<\/td>\n
\nzlxx<\/p>\n<\/td>\n<\/tr>\n
\n\npunto de venta<\/p>\n<\/td>\n
\nflexi\u00f3n<\/p>\n<\/td>\n
\nadministrador@mimifi<\/p>\n<\/td>\n
\nxmhdipc<\/p>\n<\/td>\n<\/tr>\n
\n\nicatch99<\/p>\n<\/td>\n
\nclave<\/p>\n<\/td>\n
\ndemonio<\/p>\n<\/td>\n
\nnetop\u00eda<\/p>\n<\/td>\n<\/tr>\n
\n\n3com<\/p>\n<\/td>\n
\nDOCSIS_APP<\/p>\n<\/td>\n
\nhagpolm1<\/p>\n<\/td>\n
\nklv123<\/p>\n<\/td>\n<\/tr>\n
\n\nOxhlwSG8<\/p>\n<\/td>\n
\n \n \n<\/tr>\n<\/tbody>\n<\/table>\nEn lo que parece ser una campa\u00f1a separada, los atacantes tambi\u00e9n explotaron CVE-2022-22954 para descargar una carga \u00fatil de 67[.]205[.]145[.]142. La carga \u00fatil inclu\u00eda siete archivos:<\/p>\n
\nphpupdate.exe: software de miner\u00eda Xmrig Monero<\/li>\n config.json: archivo de configuraci\u00f3n para pools de miner\u00eda<\/li>\n networkmanager.exe: ejecutable utilizado para escanear y propagar infecciones<\/li>\n phpguard.exe: ejecutable utilizado para que el minero guardi\u00e1n Xmrig siga funcionando<\/li>\n init.ps1: archivo de script en s\u00ed mismo para mantener la persistencia mediante la creaci\u00f3n de tareas programadas<\/li>\n clean.bat: archivo de secuencia de comandos para eliminar otros criptomineros en el host comprometido<\/li>\n cifrar.exe: ransomware RAR1<\/li>\n<\/ul>\nEn el caso de que RAR1ransom nunca se haya instalado antes, la carga \u00fatil ejecutar\u00eda primero el archivo ejecutable encrypt.exe. El archivo coloca el archivo ejecutable leg\u00edtimo de compresi\u00f3n de datos WinRAR en una carpeta temporal de Windows. Luego, el ransomware usa WinRAR para comprimir los datos del usuario en archivos protegidos con contrase\u00f1a.<\/p>\n
La carga \u00fatil luego iniciar\u00eda el ataque GuardMiner. GuardMiner es un troyano de miner\u00eda multiplataforma para la moneda Monero. Ha estado activo desde 2020.<\/p>\n
Los ataques subrayan la importancia de instalar actualizaciones de seguridad de manera oportuna. Cualquiera que a\u00fan no haya instalado el parche del 6 de abril de VMware debe hacerlo de inmediato.<\/p>\n<\/div><\/div>\n
Source link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"Los piratas inform\u00e1ticos han estado explotando una vulnerabilidad ahora parcheada en VMware Workspace ONE Access en campa\u00f1as para instalar varios ransomware y mineros de criptomonedas, dijo el jueves un investigador…<\/p>\n","protected":false},"author":1,"featured_media":255645,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[11736,1779,9762,133,1690,23150,17175,22314,848,107,73,26824],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/255644"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=255644"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/255644\/revisions"}],"predecessor-version":[{"id":255646,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/255644\/revisions\/255646"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/255645"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=255644"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=255644"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=255644"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}