AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Actividad de reconocimiento contra SentinelOne revela campaña de intrusiones globales y sofisticadas

admin

Introducción

Entre julio de 2024 y marzo de 2025, la empresa de ciberseguridad estadounidense SentinelOne fue objeto de actividades de reconocimiento avanzadas, que forman parte de una campaña más amplia de intrusiones parcialmente relacionadas. Esta operación no solo afectó a SentinelOne, sino que también comprometió a una entidad gubernamental del sur de Asia, una organización mediática europea y más de 70 organizaciones en múltiples sectores. La amplitud, la sofisticación y la selectividad de los ataques apuntan a actores con capacidades avanzadas, posiblemente respaldados por estados, y plantean desafíos significativos para los profesionales de la seguridad.

Contexto del Incidente

El incidente salió a la luz gracias al trabajo de Aleksandar Milenkoski y su equipo de threat intelligence en SentinelOne, quienes identificaron patrones de actividad anómalos dirigidos inicialmente a sus propios sistemas. Sin embargo, la investigación posterior reveló que el ataque era solo una parte de un conjunto de intrusiones sincronizadas que compartían herramientas, infraestructura, y tácticas de evasión. Los objetivos incluían principalmente entidades gubernamentales, medios de comunicación e infraestructuras críticas, en línea con los intereses de ciberespionaje observados en campañas anteriores atribuidas a APTs (Amenazas Persistentes Avanzadas).

Se estima que, además de SentinelOne, más de 70 organizaciones fueron atacadas, incluidas empresas del sector financiero, energético y tecnológico. Los atacantes desplegaron una variedad de técnicas de reconocimiento para mapear la superficie de ataque y buscar vulnerabilidades explotables, preparando el terreno para accesos iniciales más profundos y movimientos laterales.

Detalles Técnicos

La campaña ha sido asociada a varias CVEs críticas, entre ellas:

– CVE-2024-23897 (RCE en productos de gestión de endpoints), explotada con exploits públicos disponibles en Metasploit.
– CVE-2024-32041 (vulnerabilidad de ejecución remota en servidores web), utilizada para el acceso inicial y la persistencia.
– CVE-2024-29999 (zero-day en plataformas de autenticación SSO), explotada selectivamente contra objetivos de alto valor.

Vectores de ataque:
Los adversarios emplearon técnicas de spear phishing dirigidas, aprovechando correos electrónicos con payloads personalizados y enlaces a sitios de phishing alojados en infraestructura comprometida. Además, se detectaron intentos de explotación directa de servicios expuestos y uso de credenciales comprometidas obtenidas en fugas anteriores.

TTP según MITRE ATT&CK:
– TA0001 (Initial Access): Explotación de aplicaciones públicas, spear phishing.
– TA0002 (Execution): Uso de scripts maliciosos y cargas en memoria.
– TA0003 (Persistence): Creación de cuentas administrativas ocultas y backdoors personalizados.
– TA0005 (Defense Evasion): Uso de técnicas de living-off-the-land (LOLBAS) y ofuscación de payloads.
– TA0007 (Discovery): Enumeración intensiva de activos y servicios internos.

Indicadores de compromiso (IoC):
Se han identificado direcciones IP de C2 ubicadas principalmente en Europa del Este y Asia, archivos ejecutables sospechosos firmados con certificados robados, y patrones de tráfico anómalos que coinciden con el uso de frameworks como Cobalt Strike y Sliver.

Impacto y Riesgos

El alcance de la campaña es considerable, con un impacto potencial en la confidencialidad, integridad y disponibilidad de los sistemas comprometidos. La exposición de información sensible de gobiernos y empresas puede derivar en espionaje industrial, manipulación de información y pérdidas económicas sustanciales. Según estimaciones preliminares, el coste medio por incidente podría superar los 1,2 millones de euros, considerando la respuesta, contención y recuperación, sin contar sanciones regulatorias bajo la GDPR y la inminente NIS2.

Las organizaciones afectadas han reportado interrupciones en operaciones críticas, pérdidas de datos y, en algunos casos, movimientos laterales hacia sistemas OT (tecnología operativa), incrementando el riesgo para infraestructuras esenciales.

Medidas de Mitigación y Recomendaciones

– Aplicar de inmediato los parches para CVE-2024-23897, CVE-2024-32041 y CVE-2024-29999.
– Revisar y limitar la exposición de servicios públicos, especialmente los relacionados con administración remota y autenticación.
– Implementar autenticación multifactor (MFA) reforzada en todos los accesos críticos.
– Monitorizar exhaustivamente logs de eventos y tráfico de red en busca de IoCs asociados.
– Realizar revisiones periódicas de cuentas privilegiadas y políticas de acceso.
– Desplegar herramientas EDR/XDR con detección de TTP avanzadas y respuesta automatizada.
– Simular ataques mediante red teaming y ejercicios de purple teaming para validar la resiliencia.

Opinión de Expertos

Especialistas en threat hunting como Juan Carlos Gómez, CISO de una gran entidad financiera europea, subrayan la importancia de la detección proactiva basada en amenazas conocidas y comportamientos anómalos. “El uso de técnicas de living-off-the-land complica la identificación temprana. Apostar por inteligencia de amenazas contextualizada y respuesta automatizada es crucial”, afirma Gómez. Por su parte, la analista SOC Marta López alerta sobre la tendencia creciente de ataques combinados que explotan múltiples CVEs y canales de acceso simultáneamente.

Implicaciones para Empresas y Usuarios

Las organizaciones deben revisar de inmediato sus estrategias de gestión de vulnerabilidades y respuesta a incidentes. La campaña demuestra la eficacia de la explotación encadenada de vulnerabilidades y la necesidad de contar con programas de formación continua para empleados y equipos técnicos. Además, la obligatoriedad de notificación bajo GDPR y la futura entrada en vigor de NIS2 obligan a reforzar la gobernanza y la transparencia ante incidentes de seguridad.

Conclusiones

La campaña de intrusiones revelada a raíz del ataque de reconocimiento a SentinelOne pone de manifiesto la evolución de las amenazas avanzadas y la necesidad de adoptar un enfoque holístico de ciberdefensa. La colaboración entre equipos de threat intelligence, la actualización constante de parches y la mejora continua de capacidades de detección y respuesta son elementos clave para mitigar el impacto y anticipar futuras amenazas.

(Fuente: feeds.feedburner.com)