La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advierte que ha observado actores maliciosos que utilizan cookies persistentes no cifradas administradas por el módulo F5 BIG-IP Local Traffic Manager (LTM) para realizar reconocimientos de las redes de destino.
Dijo que el módulo se utiliza para enumerar otros dispositivos de la red que no están conectados a Internet. La agencia, sin embargo, no reveló quién estaba detrás de esta actividad ni cuáles eran los objetivos finales de la campaña.
“Un actor cibernético malicioso podría aprovechar la información recopilada de cookies persistentes no cifradas para inferir o identificar recursos de red adicionales y potencialmente explotar vulnerabilidades encontradas en otros dispositivos de la red”, dijo CISA. dicho en una reseña.
También recomendó que las organizaciones cifren las cookies persistentes utilizadas en los dispositivos F5 BIG-IP mediante configurar el cifrado de cookies en el perfil HTTP. Además, solicita a los usuarios que verifiquen la protección de sus sistemas ejecutando una utilidad de diagnóstico proporcionada por F5 llamada BIG-IP iSanté para identificar problemas potenciales.
“El componente BIG-IP iHealth Diagnostics del sistema BIG-IP iHealth evalúa los registros, las salidas de comandos y la configuración de su sistema BIG-IP en comparación con una base de datos de problemas conocidos, errores comunes y mejores prácticas publicadas en F5”, nota F5 en un documento de respaldo.
“Los resultados escalonados brindan comentarios personalizados sobre problemas de configuración o defectos de código y brindan una descripción del problema. [and] recomendaciones de resolución.”
La revelación se produce cuando las agencias de ciberseguridad del Reino Unido y Estados Unidos publicaron un boletín conjunto que detalla los intentos de actores patrocinados por el Estado ruso de atacar los sectores diplomático, de defensa, tecnológico y financiero para recopilar inteligencia extranjera y permitir futuras operaciones cibernéticas.
La actividad se rastreó hasta un actor de amenazas rastreado como APT29, también conocido como BlueBravo, Cloaked Ursa, Cozy Bear y Midnight Blizzard. APT29 se considera un engranaje clave en la máquina de inteligencia militar rusa y está afiliado al Servicio de Inteligencia Exterior (SVR).
“Las ciberintrusiones SVR ponen un fuerte énfasis en permanecer anónimos y sin ser detectados. Los actores utilizan ampliamente TOR durante las intrusiones -desde el objetivo inicial hasta la recopilación de datos- y en toda la infraestructura de la red”, dijeron las agencias. dicho.
“Los actores alquilan infraestructura operativa utilizando varias identidades falsas y cuentas de correo electrónico de mala reputación. El SVR obtiene la infraestructura de revendedores de los principales proveedores de alojamiento”.
Los ataques organizados por APT29 se clasificaron como aquellos diseñados para recopilar inteligencia y establecer un acceso persistente para facilitar los compromisos de la cadena de suministro (es decir, objetivos intencionales), así como aquellos que permiten alojar infraestructura maliciosa o realizar operaciones de seguimiento desde cuentas comprometidas por parte de aprovechar vulnerabilidades conocidas públicamente, credenciales débiles u otras configuraciones erróneas (es decir, objetivos de oportunidad).
Algunas de las vulnerabilidades de seguridad importantes destacadas incluyen CVE-2022-27924, una falla de inyección de comandos en Zimbra Collaboration, y CVE-2023-42793, un error crítico de omisión de autenticación que permite la ejecución de código de forma remota en TeamCity Server.
APT29 es un ejemplo relevante de actores maliciosos que innovan continuamente sus tácticas, técnicas y procedimientos en un intento de permanecer sigilosos y evadir las defensas, llegando incluso a destruir su infraestructura y borrar toda evidencia si sospechan que sus intrusiones fueron detectadas, ya sea por la víctima o la policía.
Otra técnica notable es el uso extensivo de redes proxy, incluidos proveedores de telefonía móvil o servicios de Internet residencial, para interactuar con víctimas ubicadas en América del Norte y mezclarse con el tráfico legítimo.
“Para interrumpir esta actividad, las organizaciones deben establecer una línea de base para los dispositivos permitidos y aplicar un mayor escrutinio a los sistemas que acceden a sus recursos de red que violan la línea de base”, dijeron las agencias.