La firma de seguridad china Qihoo 360 ha revelado que un misterioso grupo de piratas informáticos ha estado monitoreando el tráfico de correo electrónico y FTP dentro de las redes corporativas de DrayTek desde al menos principios de diciembre de 2019. En el informe publicado, la compañía dijo que sus investigadores identificaron dos actores de amenazas diferentes que explotaron una vulnerabilidad en las puertas de enlace VPN en DrayTek Vigor.
Hay dos grupos distintos, informó la compañía. El primero de los dos grupos de hackers parece ser más complejo. Según Qihoo, el radar determinó que el grupo llevó a cabo un ataque altamente sofisticado contra dispositivos DrayTek el 4 de diciembre del año pasado. Qihoo, enrutador del mismo grupo nombre de usuario e inicio de sesión Dijo que explotó una vulnerabilidad en el mecanismo de inicio de sesión encriptado RSA de los dispositivos DrayTek para ocultar código malicioso en su dominio.
Los investigadores encontraron que los piratas informáticos utilizaron el puerto 21 (FTP – transferencia de archivos), el puerto 25 (SMTP – correo electrónico), el puerto 110 (POP3 – correo electrónico) y el puerto 143 (IMAP – correo electrónico). registrar el tráfico entrante Agregó que estaba usando un guión. Los investigadores de Qihoo dijeron que no adivinaron por qué los piratas informáticos recopilaban tráfico FTP y de correo electrónico, pero en las entrevistas, la situación quedó clara después de que un investigador de seguridad señalara que parecía una operación de reconocimiento clásica.
Además, se informó de otra fuente que la campaña de ataque del grupo no fue detectada y estaba bajo la observación de otras firmas de ciberseguridad. Sin embargo, se dice que el grupo no ha compartido ninguna infraestructura de servidor ni muestras de malware con ningún otro grupo de piratería conocido; por lo tanto, se compartió que parece un grupo nuevo por ahora.
Hay otro grupo de hackers.
Los dispositivos DrayTek también fueron abusados por un segundo grupo, al que Qihoo llamó ‘Grupo de ataque B’. este grupo en diferentes días apareció, pero los hackers no lo descubrieron por sí mismos. Según Qihoo, los piratas informáticos llevaron a cabo este segundo ataque al explotar un error en el proceso “rtick” para crear cuentas de puerta trasera en ciertos enrutadores. Aún se desconoce qué hacen con estas cuentas. La compañía continúa realizando investigaciones sobre el tema y publica nueva información.
Fuente: https://www.zdnet.com/article/a-mysterious-hacker-group-is-eavesdropping-on-corporate-ftp-and-email-traffic/
