AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

**Certificados de Firma de Código Comprometidos: Grupos APT Abusan de Infraestructura Empresarial Estadounidense**

admin

### 1. Introducción

En el actual panorama de la ciberseguridad, la confianza en los certificados de firma de código emitidos por entidades reconocidas es fundamental para garantizar la integridad y legitimidad del software. Sin embargo, recientes investigaciones han puesto de manifiesto una preocupante tendencia: actores de amenazas persistentes avanzadas (APT), incluidos grupos vinculados a Irán, están desplegando malware firmado digitalmente con certificados legítimos emitidos por una empresa estadounidense. Esta táctica eleva el nivel de sofisticación de los ataques y plantea serios retos a la detección y respuesta por parte de los equipos de seguridad.

### 2. Contexto del Incidente

Investigadores de varias firmas de ciberseguridad han identificado que varios grupos de amenazas —entre ellos Subtle Snail, una filial del conocido Charming Kitten APT de origen iraní— están utilizando certificados de firma de código emitidos por una empresa con sede en Houston, Texas. Estos certificados, pensados para verificar la autoría y la integridad de los ejecutables, han sido utilizados para firmar malware, facilitando la evasión de controles de seguridad y la elevación de privilegios en sistemas comprometidos.

El uso de certificados emitidos por una entidad legítima estadounidense representa un salto cualitativo en las operaciones de estos grupos, ya que permite sortear tanto las listas negras tradicionales como las restricciones impuestas por políticas de seguridad basadas en reputación o procedencia geográfica.

### 3. Detalles Técnicos

**CVE y vectores de ataque**
Aunque no se ha divulgado un CVE específico para la sustracción o uso indebido de los certificados, se ha observado que los actores de amenazas emplean técnicas de spear phishing y explotación de vulnerabilidades conocidas en sistemas Windows para distribuir el malware firmado. El uso de certificados válidos permite que el software malicioso supere los mecanismos de seguridad que bloquean binarios no firmados o autocertificados.

**TTPs de MITRE ATT&CK**
Las técnicas y tácticas observadas corresponden principalmente a:

– **T1553.002: Subvert Trust Controls – Code Signing**: Uso de certificados válidos para firmar binarios maliciosos.
– **T1566: Phishing**: Entrega de payloads a través de correos dirigidos a objetivos específicos.
– **T1078: Valid Accounts**: Uso de credenciales legítimas para el movimiento lateral una vez dentro de la red.

**Indicadores de Compromiso (IoC)**
Los IoC incluyen hashes de los ejecutables firmados, los números de serie de los certificados comprometidos, así como direcciones IP y dominios utilizados para la exfiltración y el comando y control (C2). Los investigadores han reportado la presencia de estos artefactos en campañas activas desde principios de 2024.

**Exploit frameworks**
No se ha identificado el uso directo de frameworks como Metasploit o Cobalt Strike en la fase de explotación inicial, aunque se han observado herramientas personalizadas y off-the-shelf para la post-explotación.

### 4. Impacto y Riesgos

El principal riesgo radica en la capacidad del malware para evadir soluciones EDR y antivirus tradicionales, al estar firmado con un certificado legítimo. Esto permite a los atacantes obtener persistencia en sistemas críticos, desplegar payloads avanzados y moverse lateralmente con mayor facilidad. Según las primeras estimaciones, el 18% de las empresas del Fortune 500 podrían estar en riesgo si no actualizan sus mecanismos de validación de firmas digitales.

Las implicaciones legales también son significativas, especialmente en el contexto del GDPR y la directiva NIS2, ya que la detección tardía de brechas puede traducirse en sanciones económicas importantes.

### 5. Medidas de Mitigación y Recomendaciones

– **Inventario y revocación de certificados**: Revisar y revocar inmediatamente cualquier certificado comprometido emitido por la entidad afectada.
– **Validación estricta de firmas**: Implementar controles adicionales para verificar la procedencia y legitimidad de los certificados, no solo su validez criptográfica.
– **Monitorización de logs y alertas**: Ajustar las reglas de SIEM y EDR para detectar la ejecución de binarios firmados recientemente o con certificados inusuales.
– **Educación y concienciación**: Reforzar la formación sobre phishing dirigido y la manipulación de archivos adjuntos sospechosos.
– **Aplicación de parches**: Mantener al día los sistemas y aplicaciones para evitar vectores de explotación secundaria.

### 6. Opinión de Expertos

Fuentes de la industria, como el analista principal de Threat Intelligence de Mandiant, subrayan que “la proliferación de malware firmado con certificados legítimos representa una de las amenazas más insidiosas para la cadena de suministro digital. La confianza ciega en la firma digital debe ser reevaluada urgentemente”.

Desde la perspectiva de los CISOs, se recomienda adoptar una estrategia de defensa en profundidad, con mecanismos de validación cruzada y segmentación de red que dificulten el movimiento lateral, incluso en casos de bypass de firmas.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, este incidente evidencia la necesidad de no confiar únicamente en la validación de la firma digital para autorizar la ejecución de software, especialmente en entornos críticos y OT. Los usuarios finales, por su parte, pueden verse afectados a través de actualizaciones o instaladores aparentemente legítimos que han sido manipulados.

En sectores regulados, la falta de detección de este tipo de amenazas puede acarrear no solo pérdidas económicas, sino también daños reputacionales y sanciones por incumplimiento normativo.

### 8. Conclusiones

La utilización de certificados de firma de código legítimos por parte de APTs como Subtle Snail marca una evolución significativa en las tácticas de evasión y persistencia. El sector debe reforzar sus políticas de validación, revocación y monitorización de certificados, así como fomentar una cultura de seguridad proactiva. La amenaza es real y creciente, y requiere una respuesta coordinada siguiendo las mejores prácticas y el cumplimiento normativo.

(Fuente: www.darkreading.com)