Bitdefender ha publicado una nueva investigación que desvela los detalles de una sofisticada campaña de espionaje corporativo dirigida a una empresa tecnológica con sede en EE. UU. El ataque se llevó a cabo durante varios meses y se basó en la explotación de vulnerabilidades conocidas y de técnicas sofisticadas de extracción de datos. Para conseguir sus objetivos, los ciberdelincuentes utilizaron una amplia red formada por cientos de direcciones IP, la mayoría de ellas con origen en China.
El vector de infección inicial fue una instancia de Internet del servidor web ZOHO ManageEngine ADSelfService Plus explotada a través de una de las principales vulnerabilidades conocida sin parchear: CVE-2021-40539, que permite al atacante eludir la autenticación de seguridad y ejecutar código arbitrario. Después de lograr acceso, los ciberdelincuentes implementaron un web shell (un script malicioso) en un directorio accesible desde Internet, utilizándolo para acceder a un servidor web de forma remota con el objetivo de exfiltrar datos.
Según los expertos de Bitdefender, los ataques híbridos, que combinan tácticas oportunistas (es decir, explotación de vulnerabilidades de forma automatizada) y sofisticación (técnicas de alto nivel de exfiltración de datos con intervención humana) están en aumento.
Bitdefender insta a las organizaciones de los sectores industrial, energético, financiero, de defensa y otros sectores críticos a estar en alerta máxima, ya que a medida que el clima político continúe calentándose tanto en la región de Asia Pacífico como en otras partes del mundo, este tipo de ataques seguirá aumentando. Por ello, las estrategias de seguridad de las organizaciones deben incluir capacidades de prevención, detección y respuesta ante amenazas.