Las agencias de ciberseguridad de Australia, Canadá, Nueva Zelanda y Estados Unidos han emitido un comunicado conjunto advirtiendo sobre los peligros asociados con una técnica conocida como fast flux, adoptada por actores maliciosos para encubrir sus canales de comando y control (C2).

“Fast flux es una táctica diseñada para ocultar la ubicación de servidores maliciosos mediante el uso de registros DNS que se actualizan rápidamente y que están asociados a un único nombre de dominio”, explicaron las agencias. “Esta técnica explota una vulnerabilidad común en las defensas de red, dificultando tanto el rastreo como la interrupción de actividades maliciosas”.

El aviso fue publicado por un grupo conformado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), la Agencia de Seguridad Nacional (NSA), el FBI, el Centro Australiano de Seguridad Cibernética, el Centro Canadiense de Seguridad Cibernética y el Centro Nacional de Seguridad Cibernética de Nueva Zelanda.

En años recientes, numerosos grupos de ciberdelincuentes han implementado fast flux, incluyendo actores vinculados a Gamaredon, CryptoChameleon y Raspberry Robin, con el objetivo de evitar la detección y dificultar los esfuerzos de desmantelamiento por parte de las autoridades.

La técnica se basa en utilizar múltiples direcciones IP y rotarlas rápidamente para apuntar a un mismo dominio malicioso. Fue detectada por primera vez en 2007 dentro del marco del Proyecto Honeynet.

Existen dos variantes principales:

  • Flujo único, en el cual un solo dominio está vinculado a muchas direcciones IP.
  • Flujo doble, donde no solo se rotan las IPs, sino también los servidores DNS encargados de resolver el dominio, añadiendo una capa extra de anonimato y resiliencia.

“Una red de fast flux se considera ‘rápida’ porque rota constantemente entre distintos bots a través del DNS, usando cada uno por periodos breves, dificultando la elaboración de listas negras y la eliminación de direcciones IP maliciosas”, explicó la Unidad 42 de Palo Alto Networks en un informe de 2021.

Las agencias han calificado esta técnica como una amenaza a la seguridad nacional, señalando que permite a los atacantes esconder servidores maliciosos y construir infraestructuras de C2 resistentes frente a intentos de neutralización.

Pero su impacto va más allá del control C2: fast flux también se utiliza para alojar páginas de phishing, así como para distribuir y preparar campañas de malware.

Para mitigar sus efectos, se recomienda a las organizaciones:

  • Bloquear direcciones IP sospechosas y dominios maliciosos.
  • Filtrar el tráfico entrante y saliente relacionado con dominios o IPs de reputación dudosa.
  • Mejorar la supervisión de red.
  • Reforzar la formación del personal en temas de concientización sobre phishing.

“El flujo rápido representa una amenaza persistente para la seguridad de las redes, aprovechando la rapidez de su infraestructura cambiante para esconder la actividad maliciosa”, concluyeron las agencias. “Implementando estrategias sólidas de detección y mitigación, las organizaciones pueden reducir considerablemente el riesgo de ser víctimas de este tipo de amenazas”.

Fuente: thehackernews.com

You May Also Like

Los ciberdelincuentes están explotando los encabezados HTTP para llevar a cabo ataques de phishing a gran escala y robar credenciales.

HKN FEED

¿Has recibido un correo desde tu misma dirección chantajeándote?

wpadmin001

Ciberseguridad en la era de la IA: evolucionar más rápido que las amenazas o quedarse atrás

HKN FEED