La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) advierte que ha observado que actores de amenazas aprovechan cookies persistentes no cifradas administradas por el módulo F5 BIG-IP Local Traffic Manager (LTM) para realizar reconocimientos de redes objetivo.

La agencia señaló que el módulo está siendo utilizado para identificar otros dispositivos dentro de la red que no tienen acceso a Internet. Sin embargo, no reveló quiénes están detrás de esta actividad ni cuáles son los objetivos finales de la campaña.

“Un ciberdelincuente podría utilizar la información recopilada de cookies persistentes no cifradas para deducir o identificar recursos de red adicionales y, potencialmente, explotar vulnerabilidades en otros dispositivos de la red”, advirtió CISA en un comunicado.

Además, recomendó a las organizaciones encriptar las cookies persistentes en los dispositivos F5 BIG-IP mediante la configuración del cifrado de cookies dentro del perfil HTTP. Asimismo, instó a los usuarios a verificar la protección de sus sistemas ejecutando la utilidad de diagnóstico proporcionada por F5, llamada BIG-IP iHealth, para identificar posibles problemas.

“El componente BIG-IP iHealth Diagnostics del sistema BIG-IP iHealth analiza los registros, la salida de comandos y la configuración de su sistema BIG-IP, comparándolos con una base de datos de problemas conocidos, errores comunes y las mejores prácticas recomendadas por F5”, explicó F5 en un documento de soporte.

“Los resultados priorizados ofrecen retroalimentación personalizada sobre problemas de configuración o fallos de código, y proporcionan una descripción del problema [y] recomendaciones para su solución”.

Esta revelación llega poco después de que las agencias de ciberseguridad del Reino Unido y Estados Unidos emitieran un boletín conjunto, detallando los intentos de actores respaldados por el estado ruso para atacar los sectores diplomático, de defensa, tecnológico y financiero, con el fin de recopilar inteligencia extranjera y facilitar futuras operaciones cibernéticas.

Esta actividad se ha atribuido a un grupo de amenazas conocido como APT29, también identificado como BlueBravo, Cloaked Ursa, Cozy Bear y Midnight Blizzard. Se cree que APT29 juega un rol clave en la maquinaria de inteligencia militar rusa, y está vinculado al Servicio de Inteligencia Exterior (SVR).

“Las intrusiones cibernéticas del SVR se centran en permanecer ocultas y sin ser detectadas. Los actores usan TOR extensivamente en todas las etapas de las intrusiones, desde el ataque inicial hasta la recolección de datos, y a lo largo de toda la infraestructura de red”, señalaron las agencias.

“Estos actores alquilan infraestructura operativa utilizando una variedad de identidades falsas y cuentas de correo electrónico de baja reputación. El SVR obtiene esta infraestructura a través de revendedores de importantes proveedores de hosting”.

Los ataques atribuidos a APT29 se han categorizado como diseñados para recopilar inteligencia y establecer un acceso persistente, facilitando compromisos en la cadena de suministro (es decir, objetivos específicos), así como para alojar infraestructura maliciosa o realizar operaciones de seguimiento desde cuentas comprometidas, aprovechando vulnerabilidades públicas, credenciales débiles u otras configuraciones defectuosas (es decir, objetivos oportunistas).

Entre las vulnerabilidades destacadas se encuentran CVE-2022-27924, una falla de inyección de comandos en Zimbra Collaboration, y CVE-2023-42793, un error crítico de omisión de autenticación que permite la ejecución remota de código en TeamCity Server.

APT29 es un ejemplo claro de actores de amenazas que evolucionan constantemente sus tácticas, técnicas y procedimientos, con el fin de mantenerse ocultos y evadir las defensas. Incluso, llegan al extremo de destruir su infraestructura y eliminar toda evidencia si sospechan que sus intrusiones han sido detectadas, ya sea por la víctima o por las autoridades.

Otra táctica notable es el uso intensivo de redes proxy, que incluyen proveedores de servicios móviles o de Internet residencial, para interactuar con víctimas en América del Norte y camuflarse en el tráfico legítimo.

“Para contrarrestar esta actividad, las organizaciones deben establecer una línea base para los dispositivos autorizados y aplicar un escrutinio adicional a los sistemas que acceden a sus recursos de red y no cumplen con dicha línea base”, indicaron las agencias.

Fuente: thehackernews.com