CIBERDELINCUENTES VULNERAN SUNLOGIN CON EL FRAMEWORK SLIVER

07/02/2023

BOLETÍN NRO 2023-081

Se ha descubierto recientemente que ciberdelincuentes están utilizando el framework de C&C Sliver para explotar vulnerabilidades conocidas en el software Sunlogin, lo cual les permite desplegar distintos payloads en sus objetivos.

Servicios Afectados

• Sunlogin antes de v11.0.0.33

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

Sunlogin es un programa desarrollado en China el cual se utiliza para controlar de manera remota computadoras, actualmente esta siendo explotado de manera activa por ciberdelincuentes en versiones anteriores a v11.0.0.33 mediante el uso de 2 vulnerabilidades que permiten la ejecución de código remoto las cuales están catalogadas como CNVD-2022-03672 y CNVD-2022-10270 por la base de datos de vulnerabilidades china, permitiéndoles instalar el backdoor de Sliver.

Estas vulnerabilidades permiten instalar scripts de PowerShell mediante el uso de otro malware denominado “BYOVD” por sus siglas en ingles de “Bring Your Own Vulnerable Driver” el cual incapacita un driver de Windows para elevar permisos en el sistema y terminar el proceso del antivirus.

Se esta observado que los ciberdelincuentes están utilizando Sliver como alternativa de Cobalt Strike y Metasploit, los cuales son herramientas legitimas para realizar pruebas de penetración facilitándoles el desarrollo de etapas como movimiento lateral, extracción de información, penetración de red, etc.

Indicadores de Compromiso

IP

45[.]144[.]3[.]216

43[.]128[.]62[.]42

5[.]199[.]173[.]103

61[.]155[.]8[.]2

45[.]144[.]3[.]216

43[.]128[.]62[.]42

Dominio

idc6.yjzj[.]org

Hash

MD5: 836810671d8e1645b7dd35b567d75f27

SHA-256: 41d83e822dab460b296232e16ae60980928cd802e90ff5c1b2ebe31d1e0692c2

MD5: 29d04d986a31fbeab39c6b7eab5f5550

SHA-256: 990331b02e5d80d354240cb4207908279139a8843ecc80a1e758a808a4a46de1

MD5: 17a84000567055be92bda8659de5184d

SHA-256: 6284f25e55948bfa670eaf5a9bb62281b709331e32874178ab785f0131825b43

MD5: 7eaa2e3d9c8b7aa6ecdd8dad0d1ba673

SHA-256: dc560b0b8cca9dae16818af5c0f1a5a1c56f0ca200128824a0c80868c6da09a8

MD5: 1c5e484da6e6e1c2246f6d65f23bb49b

SHA-256: 41f95a383d332193ae51b90aed70d8fe5cd1237baca1a1d1420c7d33f9c825e9

MD5: 8c10401a59029599bed435575914b30d

SHA-256: 0576670c1be24805ff31ce945ab88d56651538d8c48f9c8b3e1f0a7fe76901d6

MD5: 2434d32b1bebf22ac7ab461a44cf1624

SHA-256: 4c7be8e68c7575855d335002856e3be843f61f17d1400f99c449d985558410f3

MD5: 8a319fa42e7c7432318f28a990f15696

SHA-256: c55672b5d2963969abe045fe75db52069d0300691d4f1f5923afeadf5353b9d2

MD5: 6f0c0faada107310bddc59f113ae9013

SHA-256: bad64cf05fd2161c8f050d335134ce6ab5372205588c46bb5e81b1d53f7b319e

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución

Fuente

• Fuente 1: Hackers Exploit Vulnerabilities in Sunlogin to Deploy Sliver C2 Framework
• Fuente 2: Sliver Malware With BYOVD Distributed Through Sunlogin Vulnerability Exploitations
• Fuente 3: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​