This site uses tracking technologies. You may opt in or opt out of the use of these technologies.

Nueva amenaza APT Seashell Blizzard

Published On14 Febrero, 2025
Written ByJonathan Bravo
Nueva amenaza APT Seashell Blizzard

Durante el mes de febrero se ha observado que el subgrupo Seashell Blizzard ha explotado infraestructuras vulnerables utilizando herramientas de escaneo, evolucionando TTPs para la persistencia y el movimiento lateral, los cuales, estan propagando malware en las diferente compañias tanto de Europa y Asia.

¿Como es su proceso para la instalación?

A continuación se muestra el proceso de ataque para instalar el malware:

image.png

Puntos claves

Para poder realizar la ejecucion del malware utilizan varias vulnerabilidades, los cuales, han explotado al menos ocho vulnerabilidades conocidas en los perímetros de redes pequeñas/medias y grandes empresas:

JBOSS (CVE desconocido)

Microsoft Exchange (CVE-2021-34473)

Zimbra Collaboration (CVE-2022-41352)

OpenFire (CVE-2023-32315)

JetBrains TeamCity (CVE-2023-42793)

Microsoft Outlook (CVE-2023-23397)

Connectwise ScreenConnect (CVE-2024-1709)

Fortinet FortiClient EMS (CVE-2023-48788)

Tambien, el subgrupo explotó vulnerabilidades tales como, ConnectWise ScreenConnect (CVE-2024-1709) y Fortinet FortiClient EMS (CVE-2023-48788) para desplegar herramientas RMM como Atera y Splashtop con el objetivo de mantener persistencia y C2.

Los atacantes también emplearon ShadowLink, un método de persistencia basado en Tor, para evadir la detección configurando los sistemas comprometidos como servicios ocultos. Esta táctica permitió el acceso encubierto, el robo de credenciales y la exfiltración de datos, evitando auditorías de seguridad tradicionales.

Este subgrupo de Seashell Blizzard ha utilizado web shells para mantener la persistencia. Se ha observado la explotación de Microsoft Exchange (CVE-2021-34473) y Zimbra (CVE-2022-41352). Su web shell personalizada, LocalOlive, permite C2, carga de archivos y ejecución de comandos.

Se a detectado que han atacado redes modificando páginas de inicio de sesión de Outlook Web Access (OWA) y configuraciones DNS. Insertaron JavaScript malicioso para capturar nombres de usuario y contraseñas en tiempo real, facilitando el movimiento lateral dentro de las redes. Esta técnica de infraestructura es versátil y permite operaciones a nivel global.

Recomendaciones:

1️⃣ Parchea tu sistema:

Descarga e instala de inmediato la última actualización de seguridad publicada en las diferentes herramientas

3️⃣ Evita archivos sospechosos:

No abras correos con archivos adjuntos en formato RTF o remitentes desconocidos.

4️⃣ Refuerza tus defensas:

Implementa soluciones de monitoreo y detección de amenazas que puedan identificar intentos de explotación.

5️⃣ Copia de seguridad:

Asegúrate de contar con respaldos actualizados de tus sistemas, en caso de que se produzca una intrusión.