Después de una pausa, el grupo ha reanudado los ataques utilizando herramientas disponibles públicamente. A mediados de 2021, los investigadores descubrieron una ola de nuevos ataques del grupo libanés APT DeftTorero (también conocido como Volatile Cedar).
DeftTorero, descubierto por primera vez en 2012, está atacando activamente a las industrias gubernamentales, militares, educativas, corporativas y de telecomunicaciones, en particular en los Emiratos Árabes Unidos, Arabia Saudita, Egipto, Kuwait, Líbano, Jordania y Turquía.
Anteriormente, Volatile Cedar usaba activamente RAT Trojan Explosive para recopilar información confidencial. Luego, el grupo cesó sus actividades y las reanudó en 2021, después de lo cual los expertos de Kaspersky Lab sugirieron que los hackers informáticos cambiaron los TTP para enmascarar su actividad utilizando malware sin archivos y permanecer sin ser detectados.
DeftTorero usó un formulario de carga de archivos y una vulnerabilidad de inyección de comandos de aplicaciones web en un sitio en vivo o en un espacio aislado alojado en un servidor web de destino para instalar un shell web, según reveló una nueva investigación.
En otros casos, los complementos preinstalados por los administradores del servidor y las credenciales de inicio de sesión del servidor a través del protocolo RDP probablemente se usaron para implementar un script malicioso.
Después de descargar el código malicioso, los hackers intentaron instalar herramientas adicionales para penetrar en los sistemas internos. El análisis de los técnicos mostró que casi todos los shells web implementados se crearon a partir de repositorios de GitHub.
Según los expertos, DeftTorero no ha tenido un alto nivel de destreza tecnológica en el pasado, pero el grupo todavía utiliza herramientas de código abierto, ataques sin archivos y modificaciones de herramientas para comprometer con éxito a las víctimas.
Dado que tales ataques se desarrollan rápidamente y, a menudo, pasan desapercibidos, deben neutralizarse en las primeras etapas. Los expertos recomendaron que las organizaciones supervisen constantemente las vulnerabilidades en las aplicaciones web públicas, así como la integridad de los archivos de las aplicaciones web.
También en su informe, los investigadores compartieron varias medidas más para proteger contra ataques a aplicaciones web. Las aplicaciones web han sido durante mucho tiempo los objetivos favoritos de los atacantes.
Pueden proporcionar acceso a información valiosa. Además, son relativamente fáciles de usar. Un ataque exitoso puede tener consecuencias desastrosas, incluidas pérdidas financieras, pérdida de reputación de marca y confianza del cliente.
Algunas organizaciones no consiguen recuperarse nunca de una brecha de seguridad importante. Un firewall actúa como la primera línea de defensa de un centro de datos, pero no debes limitarte a esta solución.
Con la aparición de nuevos ataques dirigidos a aplicaciones y usuarios finales, existe la necesidad de funciones de seguridad adicionales de las que carecen los firewalls y las soluciones IPS.
Las detecciones basadas en firmas, los servicios de reputación de direcciones IP y la inspección profunda de paquetes brindan protección contra algunas amenazas avanzadas, pero no están comercializadas.
Las redes empresariales necesitan productos adicionales, como firewalls de aplicaciones web, controladores de entrega de aplicaciones y sandboxes integrados para ayudar a protegerse contra las nuevas amenazas que se dirigen a los centros de datos y los usuarios.
