- El grupo de hackers ‘Prophet Spider’ está explotando los RCE de WebLogic del año pasado para obtener acceso a redes corporativas.
- Luego, los actores venden este acceso a otros adversarios, en su mayoría operadores de ransomware.
- El mercado de acceso inicial lleva bastante tiempo en aumento y se disparó en 2021.
‘Prophet Spider’, un actor sofisticado que existe desde al menos mayo de 2017, ahora está explotando CVE-2020-14882 y CVE-2020-14750, dos fallas de ejecución remota de código (RCE) en Oracle WebLogic. Como se detalla en un informe de Crowdstrike, los actores están interesados principalmente en obtener acceso al entorno del objetivo y luego vender ese acceso a otros grupos de piratas informáticos, como los actores de ransomware, por ejemplo. En su reciente campaña, ‘Prophet Spider’ demuestra experiencia en apuntar tanto a Linux como a Windows sistemas operativos, lo que les confiere versatilidad y potencial.
El actor está explotando los dos CVE de WebLogic para acceder a la consola administrativa y luego ejecutar el código de forma remota. Si bien los dos defectos antes mencionados son los más comúnmente explotados por ‘Prophet Spider’, no son los únicos. En algunos casos, los piratas informáticos optaron por CVE-2016-0545, que les permitió realizar una inyección SQL para obtener acceso. Sin embargo, en general, no hay phishing, publicidad maliciosa ni fuerza bruta de credenciales involucradas en estas operaciones recientes, por lo que los actores dependen únicamente de explotar vulnerabilidades sin parches.
Después de lograr un punto de apoyo en la red del objetivo, ‘Prophet Spider’ se mueve lateralmente usando los comandos ‘ping’ y ‘nslookup’, mientras que también usa ‘pscan’ para escanear el entorno en busca de Windows sistemas escuchando en el puerto 445. Una vez que terminan su reconocimiento y establecen la persistencia, los actores eliminan sus herramientas usando ‘rm’, exfiltran todo lo que encuentran interesante a través de FTP o PSCP y luego contactan a otros adversarios para vender acceso web shell.
Si bien no se puede descartar con absoluta certeza el escenario de que ‘Prophet Spider’ implemente cargas útiles de ransomware, CrowdStrike Intelligence cree que lo más probable es que estén funcionando como intermediarios de acceso. Esto se ve respaldado por el hecho de que en al menos dos incidentes de infección registrados, las cepas de ransomware utilizadas eran diferentes (Egregor y MountLocker), por lo que ‘Prophet Spider’ debió vender el acceso a estos grupos.
El mercado de brokers de acceso inicial ha ido en aumento desde hace bastante tiempo, por lo que actores oportunistas como ‘Prophet Spider’ están encontrando que este campo es rentable y relativamente fácil de ingresar. Un informe reciente de Tecnologías positivas ha registrado un aumento de aproximadamente 20% en listados de acceso a la red en el primer trimestre de 2021 en comparación con todas las entradas publicadas en 2020, por lo que el campo está explotando.
Un similar informe de KELA que salió hace unos días muestra el mismo panorama, con una aparente disminución en la primavera que se atribuye a que los vendedores negociaron sus ofertas en privado luego de los incidentes de ransomware de alto perfil que aumentaron la presión de las autoridades en ese momento.