GotoHTTP: una nueva arma en el arsenal de los ciberdelincuentes

Expertos del AhnLab Security Intelligence Center (ASEC) han descubierto nuevos ataques a servidores MS-SQL que aprovechan cuentas no seguras y contraseñas débiles. En el marco de una campaña maliciosa, los atacantes utilizaron la herramienta legal de administración remota GotoHTTP, que anteriormente rara vez se encontraba en operaciones similares.

Con mayor frecuencia, los hackers utilizan herramientas como AnyDesk, TeamViewer o AmmyyAdmin. También están destinadas a la administración remota legal de sistemas, sin embargo, nada impide que los ciberdelincuentes las utilicen para fines ilícitos.

En la campaña analizada, para vulnerar el servidor MS-SQL, los atacantes primero instalaron CLR SqlShell, similar a WebShell para servidores web convencionales. SqlShell proporciona acceso a comandos y capacidades de administración del sistema en el host comprometido. Con esta herramienta, los atacantes recopilaron información sobre el dispositivo y la red, usando comandos como "whoami.exe", "systeminfo.exe" y "netstat.exe".

La siguiente etapa del ataque fue la implementación de herramientas especiales para la elevación de privilegios, como PetitPotato, SweetPotato y otras de la serie "Potato". Estos programas permiten a los atacantes evadir restricciones de privilegios bajos en el sistema y obtener un acceso más completo a las funciones de administración. Además, en el ataque analizado, los hackers crearon nuevas cuentas con contraseñas que podrían garantizar acceso repetido al sistema en el futuro.

Paralelamente, los atacantes instalaron el programa GotoHTTP para el control remoto del servidor. Tras su ejecución, se genera automáticamente un archivo de configuración con "Computer Id" y "Access Code", que permite administrar el sistema infectado de forma remota. El acceso a estos datos proporciona a los atacantes la posibilidad de un control completo a través de una interfaz gráfica.

Este caso demuestra una tendencia continua en las acciones de los ciberdelincuentes: el uso de utilidades legales existentes en lugar de crear programas maliciosos propios desde cero o alquilar software bajo el modelo MaaS. Además, el software legal permite a los atacantes eludir medidas de seguridad, ya que los antivirus no reaccionan ante AnyDesk, por ejemplo, que es utilizado con frecuencia por los administradores para la administración remota legal de sistemas.

El objetivo principal de ataques similares a servidores MS-SQL son sistemas con contraseñas poco seguras, lo que permite a los atacantes llevar a cabo ataques de fuerza bruta o por diccionario. Los expertos recomiendan utilizar contraseñas complejas y que cambien con frecuencia, así como actualizar regularmente las soluciones antivirus a las versiones más recientes. Una protección adicional sería restringir el acceso a los servidores a través de firewalls y otras medidas de seguridad.

Ante el aumento de ataques a servidores MS-SQL vulnerables, se recomienda a los administradores monitorear atentamente la seguridad de los sistemas y aplicar todas las medidas posibles para fortalecer su protección.