Ataque de la cadena de suministro de Passwordstate expone a 29K empresas al riesgo de compromiso
Tabla de contenidos:
El productor de software australiano Click Studios ha sido víctima de una violación de seguridad que resultó en un ataque a la cadena de suministro. En abril de 2020, los adversarios comprometieron con éxito el mecanismo de actualización de la aplicación de gestión de contraseñas empresarial Passwordstate de Click Studios para entregar el malware Moserpass en los dispositivos de los usuarios. El número de clientes afectados es actualmente desconocido, sin embargo, el proveedor afirma que la tasa de infección es muy baja. Aún así, la investigación está en curso, y el conteo final de víctimas podría aumentar. Hasta la fecha, más de 29,000 empresas en todo el mundo dependen de Passwordstate para gestionar sus procesos diarios, incluidas empresas de Fortune-500, instituciones gubernamentales y agencias de defensa.
Detalles del Ataque a la Cadena de Suministro
La declaración oficial de Click Studios revela que la violación de seguridad ocurrió entre el 20 de abril de 2021 a las 8:33 PM UTC y el 22 de abril de 2021 a las 00:30 AM UTC. Cualquier cliente que haya actualizado el servicio durante este período podría tener sus sistemas corporativos en riesgo.
Según la investigación del Grupo CSIS, una firma de seguridad que investiga el ataque, los actores maliciosos lograron comprometer un archivo directorio ubicado en el sitio web de Click Studios e interferir con el mecanismo de actualización de la aplicación Passwordstate. En particular, los hackers modificaron la actualización con una «Moserware.SecretSplitter.dll» biblioteca maliciosa que fue insertada con la ayuda de un pequeño fragmento de código denominado “Loader.” Como resultado, la actualización regular entregó el malware Moserpass a las víctimas en forma de un archivo “Passwordstate_upgrade.zip”. Cabe destacar que el DLL bruto dependía de una Red de Distribución de Contenidos (CND) que fue terminada el 22 de abril de 2021 a las 7 AM UTC. file. Notably, the rough DLL relied on a Content Delivery Network (CND) that was terminated on 22nd of April 2021, 7 AM UTC.
Funcionalidad Maliciosa de Moserpass
Tras la infección, el malware Moserpass es capaz de recopilar datos sensibles del sistema y de Passwordstate, que posteriormente se envían al servidor de comando y control (C&C) bajo el control del atacante. Específicamente, este software malicioso selecciona detalles como el nombre del ordenador, el nombre de usuario, el nombre del dominio, el nombre del proceso actual, el ID del proceso actual, todos los nombres de servicios en ejecución, la dirección del servidor proxy de la instalación de Passwordstate, las credenciales de Passwordstate, entre otros. Sin embargo, el Nombre de Dominio y el Nombre del Host no se recopilan como parte de este proceso malicioso. Tampoco hay evidencia de que claves de encriptación o cadenas de conexión a la base de datos se transfieran al C&C del atacante. Después de recopilar y subir los datos, el malware Moserpass duerme por 24 horas y reinicia su actividad maliciosa.
Cabe destacar que aquellos clientes que tienen sus credenciales de Passwordstate cifradas se consideran seguros ya que Moserpass no tiene capacidad de extraer dichos datos.
Detección y Mitigación
Click Studios insta a sus clientes a iniciar un cambio de contraseña lo antes posible. Además, el proveedor ha emitido un asesoramiento detallado proporcionando los pasos de mitigación relevantes.
Para detectar posibles actividades maliciosas y proteger su infraestructura organizacional, los clientes de SOC Prime pueden descargar un conjunto de las últimas reglas de detección publicadas en el Marketplace de Detección de Amenazas. Todo el contenido está directamente mapeado al marco MITRE ATT&CK® y contiene las referencias y descripciones correspondientes:
- Identificar Software PasswordState Posiblemente Comprometido [Ataque a la cadena de suministro] (vía cmdline)
- Identificar Software PasswordState Posiblemente Comprometido [Ataque a la cadena de suministro] (vía image_load)
- Identificar Software PasswordState Posiblemente Comprometido [Ataque a la cadena de suministro] (vía proxy)
Suscríbete al Marketplace de Detección de Amenazas de forma gratuita para potenciar tus capacidades de defensa cibernética. Nuestra biblioteca de contenido SOC contiene más de 100,000 reglas de detección y respuesta, analizadores, consultas de búsqueda y otro contenido relevante de SOC para que puedas resistir el creciente número de ciberataques. ¿Sigues de cerca las últimas tendencias en ciberseguridad y quieres participar en actividades de caza de amenazas? Aprovecha para contribuir a la seguridad mundial uniéndote a nuestro Programa de Recompensas por Amenazas.
Ir a la plataforma Unirse al Programa de Recompensas por Amenazas
