![\"VANGUARD](\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/tinywow_RPG_40_China-e1687974309353.webp\" "\\"\\"")
<\/a>A medida que VANGUARD PANDA contin\u00faa evolucionando y ampliando su alcance, la colaboraci\u00f3n entre la comunidad de seguridad, los organismos de aplicaci\u00f3n de la ley y los gobiernos se vuelve a\u00fan m\u00e1s crucial.<\/p>\n
Solo a trav\u00e9s de una respuesta coordinada y una compartici\u00f3n efectiva de inteligencia, podemos enfrentar de manera efectiva las amenazas<\/p>\n
La vulnerabilidad reside en las URL de la API REST en ADSelfService Plus y podr\u00eda conducir a la ejecuci\u00f3n remota de c\u00f3digo (RCE)
\nLa ausencia de artefactos que demuestren la explotaci\u00f3n del problema anterior en el ataque analizado por Crowdstrike demuestra que los atacantes han intentado cubrir sus huellas.<\/p>\n
Los piratas inform\u00e1ticos de VANGUARD PANDA no pudieron borrar la fuente de Java generada o los archivos de clase compilados que revelaron numerosos webshells y backdoors empleados en el mismo ataque.<\/p>\n
Los investigadores de seguridad cibern\u00e9tica de CrowdStrike han descubierto que el grupo de actores maliciosos avanzados (APT) conocido como VANGUARD PANDA, o tambi\u00e9n referido como Volt Typhoon, vinculado a China, ha adoptado una nueva t\u00e1ctica comercial para lograr acceso inicial a las redes de sus objetivos.<\/p>\n
Esta revelaci\u00f3n ha generado preocupaci\u00f3n en la comunidad de seguridad debido al historial y la sofisticaci\u00f3n del grupo en sus operaciones cibern\u00e9ticas.<\/p>\n
VANGUARD PANDA ha sido una entidad activa desde mediados de 2021, llevando a cabo diversas campa\u00f1as de ciberataques dirigidas a infraestructuras cr\u00edticas.<\/p>\n
Sin embargo, en su campa\u00f1a m\u00e1s reciente, el grupo ha ampliado su alcance y ha puesto el foco en organizaciones pertenecientes a los sectores de comunicaciones, manufactura, servicios p\u00fablicos, transporte, construcci\u00f3n, mar\u00edtimo, gobierno, tecnolog\u00eda de la informaci\u00f3n y educaci\u00f3n.<\/p>\n
La t\u00e9cnica utilizada por VANGUARD PANDA implica una serie de t\u00e1cticas dise\u00f1adas para obtener acceso inicial a las redes objetivo.<\/p>\n
El grupo ha demostrado una notable capacidad para adaptarse a medida que evoluciona el panorama de la seguridad cibern\u00e9tica, y esta nueva t\u00e1ctica comercial es una prueba m\u00e1s de su agilidad y determinaci\u00f3n.<\/p>\n
Las organizaciones que operan en los sectores mencionados deben estar especialmente alerta y tomar medidas proactivas para fortalecer su postura de seguridad cibern\u00e9tica.<\/p>\n
Es fundamental implementar medidas de seguridad robustas, como parches de software actualizados regularmente, configuraciones de red seguras y sistemas de detecci\u00f3n y respuesta de \u00faltima generaci\u00f3n.<\/p>\n
Adem\u00e1s, la concientizaci\u00f3n y la capacitaci\u00f3n en seguridad cibern\u00e9tica para los empleados son elementos cruciales para prevenir ataques exitosos.<\/p>\n
VANGUARD PANDA ha demostrado habilidades significativas en la ingenier\u00eda social, por lo que es importante educar a los empleados sobre los riesgos asociados con el phishing, el spear-phishing y otros m\u00e9todos utilizados para enga\u00f1ar a las personas y obtener acceso no autorizado a las redes.<\/p>\n
Dada la sofisticaci\u00f3n y el alcance de las operaciones de VANGUARD PANDA, es esencial que las organizaciones compartan informaci\u00f3n y colaboren estrechamente con los organismos de aplicaci\u00f3n de la ley y los gobiernos.<\/p>\n
La colaboraci\u00f3n entre los sectores p\u00fablico y privado puede ayudar a identificar patrones, mitigar amenazas y fortalecer las defensas cibern\u00e9ticas en general.<\/p>\n
A medida que VANGUARD PANDA contin\u00faa evolucionando y adapt\u00e1ndose, es fundamental que las organizaciones permanezcan vigilantes y actualizadas sobre las t\u00e1cticas y t\u00e9cnicas utilizadas por este grupo y otros actores maliciosos.<\/p>\n
Solo a trav\u00e9s de una respuesta concertada y un enfoque integral de la seguridad cibern\u00e9tica podremos proteger nuestras redes y datos de las amenazas persistentes y en constante evoluci\u00f3n que enfrentamos hoy en d\u00eda.<\/p>\n
El grupo de actores maliciosos avanzados (APT) conocido como VANGUARD PANDA ha adoptado un enfoque altamente sofisticado para evadir la detecci\u00f3n en sus operaciones cibern\u00e9ticas, seg\u00fan un informe publicado por CrowdStrike, una destacada empresa de seguridad cibern\u00e9tica. El grupo ha demostrado una notable habilidad para eludir las defensas de seguridad convencionales al emplear casi exclusivamente t\u00e9cnicas de “vivir fuera de la tierra” y actividad pr\u00e1ctica del teclado.<\/p>\n
CrowdStrike ha identificado que VANGUARD PANDA ha utilizado exploits en el software ManageEngine Self-service Plus para obtener acceso inicial en sus ataques. Una vez dentro de la red objetivo, el grupo conf\u00eda en webshells personalizados para mantener un acceso persistente y emplea t\u00e9cnicas de “living-off-the-land” (LOTL) para llevar a cabo movimientos laterales en la infraestructura comprometida.<\/p>\n
En un caso espec\u00edfico bloqueado por la empresa de seguridad, el grupo APT se dirigi\u00f3 a un servicio espec\u00edfico llamado Zoho ManageEngine ADSelfService Plus que se ejecutaba en un servidor Apache Tomcat. La actividad maliciosa observada durante este ataque incluy\u00f3 procesos de listado, pruebas de conectividad de red, recopilaci\u00f3n de informaci\u00f3n de usuarios y grupos, montaje de recursos compartidos, enumeraci\u00f3n de confianza de dominio a trav\u00e9s de WMI (Windows Management Instrumentation) y listado de zonas DNS utilizando WMI.<\/p>\n
El an\u00e1lisis de CrowdStrike revela que las acciones de VANGUARD PANDA demuestran una familiaridad considerable con el entorno de destino, evidenciada por la r\u00e1pida sucesi\u00f3n de comandos ejecutados y el uso de direcciones IP y nombres de host internos espec\u00edficos para realizar pruebas de conectividad, montar recursos compartidos remotos y utilizar credenciales de texto sin formato en conjunto con WMI.<\/p>\n
Este nivel de sofisticaci\u00f3n y conocimiento del entorno objetivo resalta la necesidad de una mayor atenci\u00f3n a las pr\u00e1cticas de seguridad cibern\u00e9tica y la adopci\u00f3n de medidas de protecci\u00f3n avanzadas por parte de las organizaciones.<\/p>\n
La detecci\u00f3n y prevenci\u00f3n de ataques APT requiere una combinaci\u00f3n de tecnolog\u00edas de seguridad actualizadas, capacitaci\u00f3n constante para los empleados y la implementaci\u00f3n de mejores pr\u00e1cticas en la gesti\u00f3n de parches y configuraciones de red.<\/p>\n
Adem\u00e1s, la colaboraci\u00f3n y el intercambio de informaci\u00f3n entre las organizaciones, los proveedores de seguridad y las autoridades pertinentes son vitales para contrarrestar las amenazas de los grupos APT como VANGUARD PANDA.<\/p>\n
Solo a trav\u00e9s de una respuesta coordinada y una comprensi\u00f3n continua de las t\u00e1cticas empleadas por estos actores maliciosos podemos proteger de manera efectiva nuestras redes y salvaguardar los datos confidenciales de las organizaciones y los usuarios.<\/p>\n Seg\u00fan un an\u00e1lisis detallado de los registros de acceso de Apache Tomcat<\/strong>, los investigadores de CrowdStrike han descubierto que el grupo de amenazas avanzadas (APT) conocido como VANGUARD PANDA utiliz\u00f3 m\u00faltiples solicitudes HTTP POST a \/html\/promotion\/selfsdp.jspx, que es un shell web utilizado por actores maliciosos.<\/p>\n El webshell en cuesti\u00f3n intentaba hacerse pasar por un archivo leg\u00edtimo de ManageEngine ADSelfService Plus<\/strong>, estableciendo su t\u00edtulo como “ManageEngine ADSelfService Plus<\/strong>” y agregando enlaces a software leg\u00edtimo de mesa de ayuda empresarial. Este enfoque enga\u00f1oso buscaba ocultar la presencia del webshell y dificultar su detecci\u00f3n.<\/p>\n Seg\u00fan los investigadores, el grupo VANGUARD PANDA<\/strong> demostr\u00f3 un conocimiento profundo del entorno objetivo, lo que sugiere que llevaron a cabo extensas actividades de reconocimiento y enumeraci\u00f3n previas.<\/p>\n Aunque no se encontraron artefactos de registro de acceso para la vulnerabilidad CVE-2021-40539<\/a>, los investigadores se\u00f1alaron que el sensor Falcon de CrowdStrike se instal\u00f3 recientemente en el host objetivo.<\/p>\n Es importante destacar que en septiembre de 2021, Zoho lanz\u00f3 un parche de seguridad para abordar una vulnerabilidad de omisi\u00f3n de autenticaci\u00f3n, conocida como CVE-2021-40539, en su producto ManageEngine ADSelfService Plus.<\/p>\n La compa\u00f1\u00eda tambi\u00e9n advirti\u00f3 que esta vulnerabilidad hab\u00eda sido explotada en ataques reales.<\/p>\n Si bien no se encontraron evidencias espec\u00edficas de la explotaci\u00f3n de CVE-2021-40539<\/a> en este caso, su menci\u00f3n sugiere que los atacantes podr\u00edan haber obtenido o comprometido previamente credenciales de administrador para facilitar su acceso.<\/p>\n Esto subraya la importancia de mantener todos los sistemas y aplicaciones actualizados con los \u00faltimos parches de seguridad para mitigar el riesgo de vulnerabilidades conocidas.<\/p>\n En respuesta a estos hallazgos, es crucial que las organizaciones apliquen parches de seguridad de manera oportuna, especialmente para los productos y sistemas ampliamente utilizados como ManageEngine ADSelfService Plus.<\/p>\n Adem\u00e1s, se recomienda implementar soluciones de seguridad avanzadas, como sistemas de detecci\u00f3n y respuesta de endpoints (EDR), que pueden ayudar a identificar y bloquear actividades sospechosas en tiempo real.<\/p>\n La colaboraci\u00f3n entre los proveedores de seguridad, los investigadores y las organizaciones afectadas sigue siendo fundamental para enfrentar las amenazas de grupos APT como VANGUARD PANDA.<\/p>\n Al compartir informaci\u00f3n y trabajar juntos, podemos fortalecer nuestras defensas cibern\u00e9ticas y mitigar los riesgos asociados con estas sofisticadas operaciones de ciberataque.<\/p>\n Los investigadores de CrowdStrike han desvelado la cadena de ataque empleada por el grupo de amenazas avanzadas (APT) VANGUARD PANDA, revelando una combinaci\u00f3n de t\u00e1cticas y t\u00e9cnicas utilizadas para comprometer y mantener el acceso persistente en los objetivos seleccionados.<\/p>\n El an\u00e1lisis revel\u00f3 que los atacantes utilizaron webshells para recuperar el archivo ListName.jsp de una fuente remota y lo colocaron en el directorio del servidor web. Adem\u00e1s, utilizaron la misma t\u00e9cnica para obtener el archivo tomcat-ant.jar de una fuente remota y lo movieron a la ubicaci\u00f3n C:\/users\/public\/. Asimismo, utilizaron la webshell para copiar el archivo tomcat-websocket.jar del directorio de la biblioteca de Apache Tomcat a C:\/users\/public.<\/p>\n Posteriormente, llevaron a cabo una solicitud HTTP GET a ListName.jsp, lo que result\u00f3 en la transferencia de las clases A, B y C de tomcat-ant.jar a tomcat-websocket.jar. A trav\u00e9s de la webshell, los atacantes reemplazaron entonces el archivo tomcat-websocket.jar en la biblioteca de Apache Tomcat con una versi\u00f3n de puerta trasera.<\/p>\n Como parte de la fase de limpieza, los atacantes eliminaron los archivos JAR de C:\/users\/public, borraron ListName.jsp del directorio del servidor web y eliminaron los registros de acceso de Apache Tomcat.<\/p>\n El informe de CrowdStrike destaca que el uso de una biblioteca de Apache Tomcat con una puerta trasera es una t\u00e1ctica, t\u00e9cnica y procedimiento (TTP) de persistencia previamente no revelada utilizada por VANGUARD PANDA. Se cree que esta puerta trasera permiti\u00f3 a los atacantes mantener un acceso persistente en los objetivos de alto valor seleccionados despu\u00e9s de la fase de acceso inicial, posiblemente aprovechando vulnerabilidades de d\u00eda cero.<\/p>\n Estos hallazgos subrayan la sofisticaci\u00f3n y la naturaleza altamente dirigida de las operaciones de VANGUARD PANDA.<\/p>\n Para protegerse eficazmente contra ataques como los llevados a cabo por el grupo VANGUARD PANDA, es fundamental que las organizaciones implementen medidas de seguridad avanzadas. Aqu\u00ed hay algunas recomendaciones clave:<\/p>\n Establezca soluciones de detecci\u00f3n y prevenci\u00f3n de webshells para identificar actividades sospechosas en sus sistemas. Estas soluciones pueden analizar el tr\u00e1fico web, monitorear archivos y directorios en busca de cambios inesperados y realizar un seguimiento de las comunicaciones maliciosas.<\/p>\n Implemente sistemas de monitorizaci\u00f3n y an\u00e1lisis de seguridad que puedan identificar comportamientos an\u00f3malos en tiempo real. Esto puede incluir la detecci\u00f3n de patrones de acceso inusuales, el seguimiento de cambios en los archivos y directorios, y la supervisi\u00f3n de actividades de red sospechosas.<\/p>\n Mantenga actualizados todos los sistemas, aplicaciones y bibliotecas utilizados en su entorno. Siga las recomendaciones del proveedor y aplique los parches de seguridad tan pronto como est\u00e9n disponibles para cerrar posibles vulnerabilidades que podr\u00edan ser explotadas por los atacantes.<\/p>\n Si utiliza Apache Tomcat como parte de su infraestructura, aseg\u00farese de seguir las mejores pr\u00e1cticas de seguridad recomendadas por el proveedor. Esto puede incluir el uso de autenticaci\u00f3n fuerte, la configuraci\u00f3n adecuada de permisos y restricciones de acceso, y la implementaci\u00f3n de firewalls y soluciones de seguridad espec\u00edficas para Tomcat.<\/p>\n Capacite a su personal en pr\u00e1cticas de seguridad cibern\u00e9tica s\u00f3lidas, incluyendo la identificaci\u00f3n de posibles amenazas, la detecci\u00f3n de correos electr\u00f3nicos de phishing y la adopci\u00f3n de medidas de seguridad adecuadas al utilizar aplicaciones y servicios en l\u00ednea.<\/p>\n Establezca planes de respuesta ante incidentes claros y probados que permitan una acci\u00f3n r\u00e1pida y coordinada en caso de una brecha de seguridad.<\/p>\n Esto incluye la identificaci\u00f3n y el aislamiento de sistemas comprometidos, la recuperaci\u00f3n de datos desde copias de seguridad confiables y el an\u00e1lisis post-incidente para aprender lecciones y mejorar las defensas.<\/p>\n Recuerde que la seguridad cibern\u00e9tica es un esfuerzo continuo y multifac\u00e9tico. Adem\u00e1s de implementar medidas t\u00e9cnicas, tambi\u00e9n es crucial mantenerse informado sobre las \u00faltimas amenazas, colaborar con la comunidad de seguridad y seguir buenas pr\u00e1cticas de higiene cibern\u00e9tica en todos los niveles de la organizaci\u00f3n.<\/p>\n Adem\u00e1s, se recomienda la implementaci\u00f3n de soluciones de seguridad basadas en la detecci\u00f3n y respuesta de endpoints (EDR) para identificar y mitigar las amenazas persistentes y sofisticadas.<\/p>\n La colaboraci\u00f3n efectiva entre actores de seguridad, proveedores de servicios y autoridades competentes desempe\u00f1a un papel fundamental en la lucha contra las amenazas cibern\u00e9ticas, especialmente cuando se trata de grupos de amenazas avanzadas (APT) como VANGUARD PANDA.<\/p>\n Compartir informaci\u00f3n sobre amenazas es esencial para mantenerse actualizado sobre las t\u00e1cticas, t\u00e9cnicas y procedimientos utilizados por estos grupos. Al intercambiar datos de inteligencia y hallazgos de investigaci\u00f3n, se pueden identificar patrones comunes y tendencias emergentes, lo que permite a las organizaciones fortalecer sus defensas y estar mejor preparadas para mitigar los ataques.<\/p>\n Los proveedores de servicios desempe\u00f1an un papel clave al ofrecer soluciones de seguridad avanzadas y actualizadas. Al compartir informaci\u00f3n sobre las \u00faltimas amenazas y vulnerabilidades con sus clientes, pueden ayudar a prevenir ataques y proporcionar medidas de protecci\u00f3n efectivas.<\/p>\n Adem\u00e1s, la colaboraci\u00f3n con las autoridades competentes, como agencias de aplicaci\u00f3n de la ley y organismos de seguridad cibern\u00e9tica, es esencial para abordar los ataques APT a gran escala. Estas entidades cuentan con recursos y conocimientos especializados para investigar y perseguir a los perpetradores, lo que puede ayudar a desmantelar las operaciones de los grupos APT y llevarlos ante la justicia.<\/p>\n En este sentido, es fundamental establecer canales de comunicaci\u00f3n eficientes y seguros entre los diferentes actores.<\/p>\n Esto puede incluir la participaci\u00f3n en grupos de trabajo, foros de intercambio de informaci\u00f3n, plataformas de colaboraci\u00f3n y el establecimiento de relaciones de confianza mutua.<\/p>\n La colaboraci\u00f3n entre actores de seguridad, proveedores de servicios y autoridades competentes es crucial para combatir eficazmente los ataques de grupos APT como VANGUARD PANDA.<\/p>\n Al unir fuerzas, compartir informaci\u00f3n y adoptar un enfoque coordinado, podemos fortalecer nuestras defensas cibern\u00e9ticas y trabajar hacia un entorno digital m\u00e1s seguro.<\/p>\n <\/p>\n Por Marcelo Lozano – General Publisher IT CONNECT LATAM<\/p>\n <\/p>\n Lea m\u00e1s sobre ciberseguridad en:<\/p>\n SolarWinds demandada por ataque Orion 2020<\/a><\/p>\n SearchInform FileAuditor 2023: Potente Auditor\u00eda de Archivos<\/a><\/p>\n COMUNICACI\u00d3N A 7724 BCRA: Plan para No Salir del Mercado<\/a><\/p>\n Cibercrimen vs Pirater\u00eda \u00c9tica: 15 Tipos de Hackers Actuales<\/a><\/p>\n<\/a>CVE MITRE<\/h3>\n
Investigaci\u00f3n de CrowdStrike<\/h4>\n
Detecci\u00f3n temprana de webshells:<\/h5>\n
Monitorizaci\u00f3n de actividades an\u00f3malas:<\/h5>\n
Aplicaci\u00f3n regular de parches de seguridad:<\/h5>\n
Fortalecimiento de la seguridad de Apache Tomcat:<\/h5>\n
Concienciaci\u00f3n y formaci\u00f3n del personal:<\/h5>\n
Respuesta y recuperaci\u00f3n ante incidentes:<\/h5>\n
<\/a>