ENTEL Weekly Threat Intelligence Brief

17 Mayo 2022
Informativo

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este resumen, es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

 

Keywords: Ransomware, APT, Malware, Vulnerabilidad, Exploit, Phishing.


 

  • La atención mediática se concentró en las actividades del grupo de ransomware Conti, quienes continúan con su hostigamiento a entidades del gobierno de Perú y Costa Rica.
  • F5 liberó actualizaciones para corregir una vulnerabilidad crítica de RCE registrada como CVE-2022-1388, posterior a la publicación de una PoC y varios exploits funcionales para explotar productos F5 BIG IP vulnerables.
  • Luego de meses de inactividad posterior a su arresto en Rusia, el grupo REvil reactiva sus operaciones con objetivos dirigidos y mejoras en sus TTP.
  • Microsoft aborda nuevamente la vulnerabilidad de “PetitPotam”, reportada en 2021, indicando que en el pasado “Patch Tuesday de mayo” se habría remediado dicha falla.
  • APT iraníes utilizan herramientas legítimas para efectuar cifrado de datos, en ataques oportunistas a objetivos estratégicos.
  • Se detecta nueva campaña del troyano bancario Mekotio en Chile, suplantando a entidad del Gobierno de Chile.
  • APT28 es evidenciado lanzando campañas de phishing en contra de organizaciones ucranianas, en el desarrollo del conflicto Rusia - Ucrania.

 

REvil reactiva sus operaciones con nuevo portal y nuevas víctimas
Durante las últimas semanas de abril y principios de mayo de 2022, investigadores observaron que el sitio onion del grupo, que había estado inactivo desde las operaciones contra Kaseya en 2021, nuevamente había sido reactivado, presentando supuestas nuevas víctimas.

 

Nuevas amenazas de Ransomware entran en escena

Durante mediados de abril y las primeras semanas del mes de mayo de 2022, se evidenció la aparición de nuevas operaciones de afiliados a ransomware, presuntamente relacionados con el grupo Conti, los que se han dado a conocer con los nombres de BlackBasta, Vulkan, Mindware, Ransomhouse.

 

FBI ofrece recompensa por información acerca de asociados al grupo Conti

Posterior a los ataques en donde se comprometió a Costa Rica, el Gobierno de Estados Unidos anunció este viernes 06 de mayo, que ofrece una recompensa de hasta 10 millones de dólares para quien ofrezca información que permita identificar o ubicar a los integrantes del grupo, responsable de ejecutar un ciberataque a instituciones públicas de pertenecientes al país Centroamericano.


Grupo de Ransomware Stormous anuncia una pausa en sus operaciones

El grupo anunció en su grupo de Telegram, que suspendería algunas operaciones de robo de datos y de otros ataques lanzados, con el fin de “mejorar” sus operaciones y aspectos relacionados al ransomware como tal, para posteriormente volver a entrar en escena.

 

La empresa AGCO sufre ataque de ransomware y detiene operaciones de venta de maquinaria agrícola

El fabricante estadounidense de equipos agrícolas AGCO dijo el viernes que un ataque de ransomware estaba afectando las operaciones en algunas de sus instalaciones de producción, estancando las ventas de equipo agrícola durante la temporada crucial de siembra.

 

Investigador descubre “kill switch” para detener ataques de REvil ransomware

REvil tiene una vulnerabilidad que puede explotarse para desactivarlo antes de que cifre los archivos en una computadora infectada. REvil busca y ejecuta archivos DLL en el directorio donde se encuentra. Al secuestrar una DLL vulnerable y ejecutar un código especialmente diseñado, se pudo detener el ataque  y terminar antes de que comenzara la rutina de cifrado de archivos.


 

APT iraní estaría aprovechando BitLocker y DiskCryptor en ataques de ransomware

Cobalt Mirage y APT35 habrían realizado dos conjuntos diferentes de intrusiones contra dispositivos Fortinet y servidores MS Exchange, una de las cuales se relaciona con ataques de ransomware oportunistas que involucran el uso de herramientas legítimas como BitLocker y DiskCryptor para obtener ganancias financieras.

 

APT28 es evidenciado lanzando campaña de phishing contra organizaciones ucranianas

El último ataque cibernético involucró la suplantación de correo electrónico con actores de amenazas que enmascararon su mensaje como un aviso de seguridad de CERT-UA. Los adversarios tenían como objetivo engañar a las víctimas para que abrieran un archivo RAR malicioso protegido con contraseña adjunto al correo electrónico, cuya ejecución iniciaba una cadena de infección.

 

Es descubierta nueva campaña de espionaje llevada a cabo por el APT Mustang Panda

Investigaciones indican que el grupo estaría llevando a cabo una operación de espionaje en contra de funcionarios del gobierno y militares rusos, utilizando un señuelo que contenía PlugX que se disfrazó como un informe sobre el destacamento fronterizo a Blagoveshchensk.

 

APT38 es asociado al uso de Ransomware para extorsión de sus víctimas

Investigadores que han seguido las actividades del grupo APT norcoreano, afirman que estos han utilizado las variantes de los ransomware Beaf, ZZZZ, ChiChi y PXJ para extorsionar a algunas de sus víctimas, en ataques altamente dirigidos.

 

APT29 utiliza software legítimo para lanzar ataques a objetivos específicos en Europa

Investigadores de seguridad detectaron una campaña del APT Nobelium (aka APT29), distribuyendo phishing para comprometer objetivos específicos en Europa, haciéndose pasar por entidades gubernamentales, utilizando como C&C la API REST de Trello.


APT34 despliega operaciones utilizando el backdoor “Saitama”

Investigadores de Malwarebytes identificaron un correo electrónico sospechoso dirigido a un funcionario del gobierno del Ministerio de Relaciones Exteriores de Jordania. El correo electrónico contenía un documento de Excel malicioso que descargaba e inyectaba una nueva puerta trasera llamada Saitama.


 

Nueva campaña del troyano bancario Mekotio es detectada en Chile

Durante la semana pasada, se evidenció una nueva campaña de malspam dirigida a usuarios chilenos, distribuyendo el troyano bancario Mekotio, en esta ocasión, suplantando al Ministerio de Transportes y Telecomunicaciones (MTT).

 

Nuevo Malware Fileless oculta shellcode en registros de Windows Events

Se detectó una nueva campaña maliciosa que se aprovecha de los registros de eventos de Windows para ocultar fragmentos de shellcode, permitiendo que el troyano fileless en su última etapa, se oculte a simple vista en el sistema de archivos.

 

Miles de sitios de WordPress pirateados para redirigir a los visitantes a sitios fraudulentos

Durante la semana pasada, investigadores detectaron una campaña masiva que es responsable de inyectar código JavaScript malicioso en sitios web de WordPress comprometidos que redirige a los visitantes a páginas fraudulentas y otros sitios web maliciosos para generar tráfico ilegítimo.

 

La botnet SYSrv apunta a servidores Windows y Linux como objetivos para criptominería

Microsoft ha descubierto que la botnet Sysrv ahora está explotando vulnerabilidades antiguas y nuevas (CVE-2022-22947) en Spring Framework y WordPress para implementar malware de criptominería en servidores Windows y Linux vulnerables.

 

Nuevo backdoor detectado para Linux y Solaris con capacidades de evasión de Firewall

Recientemente descubierto, BPFdoor ha estado apuntando sigilosamente a los sistemas Linux y Solaris sin ser notado durante más de cinco años, que permite a los actores de amenazas conectarse de forma remota a un shell de Linux para obtener acceso completo a un dispositivo comprometido. El malware no necesita abrir puertos, por lo que no puede ser detenido por firewalls y puede responder a comandos desde cualquier dirección IP en la web, lo que lo convierte en la herramienta ideal para el espionaje corporativo y los ataques persistentes.

 

Nuevo Phishing Kit as a Service “Frappo” es ofrecido en la Dark Web


Investigadores han encontrado un nuevo conjunto de herramientas de Phishing as a Service, denominado Frappo, que se distribuye activamente en foros de la Dark Web.

Este nuevo kit ofrece a los atacantes diseño de señuelos y sitios falsos de alta calidad, con implementación totalmente automatizada, lo que sugiere que atacantes sin experiencia podrían adquirir la herramienta y desplegar sus propios ataques.


 

Vulnerabilidades para productos F5

F5 publicó 3 nuevos avisos de seguridad que contemplan 5 vulnerabilidades, de las cuales 1 es clasificada como severidad Alta y 4 de severidad Media. 

Se ven afectados productos como: BIG-IP, Guided Configuration (GC), BIG-IQ Centralized Management, F5OS-A, F5OS-C y Traffix SDC.

 

Vulnerabilidad NLTM Relay en MS Windows es ampliamente explotada

Una vulnerabilidad detectada en 2021 e informada como “PetitPotam”, ha sido nuevamente abordada por Microsoft, liberando un parche que supuestamente  remedia la vulnerabilidad reportada el año pasado (CVE-2021-36942) y que en reciente Patch Tuesday se dió a conocer como CVE-2022-26925.

 

Patch Day SAP – Mayo 2022

El pasado martes 10 de mayo del 2022, SAP publicó 10 nuevos  avisos de seguridad para sus productos los cuales son: 3 Hot News, 2 de Severidad Alta y 5 de Severidad Media., destacando CVE-2022-22965 [CVSS 3.1: 9.4] Remote Code Execution vulnerability associated with Spring Framework.

 

Patch Tuesday de mayo de Microsoft corrige 75 vulnerabilidades

En su actualización programada para el martes de parches de mayo del 2022, Microsoft informó  75 correcciones de seguridad, que abordan 3 vulnerabilidades de día cero con una de ellas explotada activamente, según Microsoft.

 

VMware Tanzu reporta nuevas vulnerabilidades

VMware ha publicado 2 nuevos avisos de seguridad, ambos son de Severidad Media y afectan a Spring Framework.

NOTA: Se ha asignado recientemente el CVE a esta vulnerabilidad, por lo que aún no existe una puntuación definida para la misma.

 

Nuevos avisos de seguridad Palo Alto

El equipo de seguridad de Palo Alto ha publicado 4 avisos de seguridad, en donde se ven afectados productos como: Agente Cortex XDR, Cortex XSOAR y PAN-OS. Estas vulnerabilidades están clasificadas como: 1 de Severidad Alta y 3 de Severidad Media.

 

HP corrige las vulnerabilidades de UEFI que afectan a modelos de computadoras

HP anunció el miércoles el lanzamiento de parches para dos vulnerabilidades de alta gravedad que afectan el firmware UEFI de más de 200 computadoras portátiles, estaciones de trabajo y otros productos, cuyas vulnerabilidades fueron registradas como CVE-2021-3808 y CVE-2021-3809 y tienen una puntuación CVSS de 8,8.

 

Actualización de Chrome corrige 13 vulnerabilidades

Google anunció esta semana el lanzamiento de una actualización del navegador Chrome que resuelve un total de 13 vulnerabilidades, incluidas nueve que fueron reportadas por investigadores externos, siendo CVE-2022-1633 la de mayor criticidad.

 

Intel corrige vulnerabilidades de alta gravedad en BIOS, Boot Guard

Intel anunció el martes el lanzamiento de parches para múltiples vulnerabilidades en su cartera de productos, cuya mayor gravedad radica en cuatro errores que podrían conducir a la elevación de privilegios a través del acceso local, registrados como CVE-2021-0154, CVE-2021-0153, CVE-2021-33123 y CVE-2021-0190, con una puntuación CVSS de 8,2.


 

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente, en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, durante la semana del 16 al 22 de mayo de 2022:

 

  • Transportes y servicios automotrices

 

  • Tecnología y Telecomunicaciones
  • Retail y servicios de consumo
  • Gobierno
  • Petróleo
  • Industrias manufactureras, materiales y minería
  • Banca y Finanzas
  • Shipment y cadena de suministros
  • Agricultura, ganadería, silvicultura y pesca

 

  • Servicios empresariales y comercio
  • Energía
  • Agua
  • Servicios de salud, sociales y farmacia
  • Defensa y orden público
  • Servicios legales y profesionales
  • Gas

 

  • Construcción e inmobiliaria
  • Educación
  • Organizaciones sin fines de lucro
  • Entretenimiento, cultura y arte
  • Turismo, hoteles y restaurantes

 

 


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.