ENTEL Weekly Threat Intelligence Brief del 30 de mayo al 05 de junio de 2022

06 Junio 2022
Informativo
Amenaza

 

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe, es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

Keywords: Ransomware, APT, Malware, Vulnerabilidad, Exploit, Phishing

 

 

 

  • Evidenciada campaña de distribución del RAT/Infostealer AgentTesla en Chile.
  • Aumento de ataques de phishing contra instituciones bancarias en Chile durante Mayo.
  • Ataque de ransomware afecta a cadena de televisión en Colombia.
  • APT Chino es evidenciado explotando Zero Day crítico presente en MS Office.
  • EnemyBot agrega exploits para F5, VMWare y Android a su arsenal de ataque.
  • Vulnerabilidad en Atlassian Confluence activamente explotada luego de su descubrimiento.
  • La Caja Costarricense de seguro social (CCSS) de Costa Rica es atacada por Ransomware y obliga a cerrar sus sistemas de atención.

 

 

Ataque de ransomware afecta a cadena de televisión en Colombia.

Durante la madrugada del 22 de mayo, algunos de los servidores del canal de televisión Caracol TV fueron víctimas de un llamado 'ransomware'. Esto logró cifrar gran parte de la información del medio de comunicación nacional. Esto generó problemas en los sistemas, tanto en Caracol Televisión y Blu Radio.

 

RansomHouse hace que la extorsión funcione sin ataques con ransomware.

El grupo se comercializa a sí mismo como “probadores de penetración y cazarrecompensas de errores” más que un extorsionador en línea promedio. Después de robar datos de los objetivos, ofrecen eliminarlos y luego brindan un informe completo sobre qué vulnerabilidades explotaron y cómo llevaron a cabo la operación.

 

Investigadores lanzan PoC un ataque utilizando IoT y TI para entregar ransomware contra OT.

Vedere Labs de Forescout ha publicado una prueba de concepto (PoC) para un ataque de 'ransomware' que utiliza IoT para el acceso, TI para el recorrido y OT (especialmente PLC) para la detonación del ataque. Se llama R4IoT y se describe como la próxima generación de ransomware. 

 

Evil Corp cambia al ransomware LockBit para evadir sanciones en EE.UU.


El grupo de ciberdelincuencia Evil Corp ahora ha pasado a implementar el ransomware LockBit en las redes de los objetivos para evadir las sanciones impuestas por la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE. UU. Activos desde 2007,  Evil Corp  (también conocida como INDRIK SPIDER o la pandilla Dridex) son conocidos por promover el malware Dridex y luego cambiar al "negocio" del ransomware.

 

Cypress College y Fullerton College sufren ataque de ransomware.

En marzo de 2022, el Distrito de Colegios Comunitarios del Condado de North Orange en California notificó a más de 19,000 personas sobre un incidente de seguridad de datos. Esta semana, NOCCCD envió una notificación a la Oficina del Fiscal General de California, como una notificación retrasada al estado. Las notificaciones en los sitios web de los campus revelaban que se trataba de un incidente de ransomware.

 

La CCSS de Costa Rica es atacada por Ransomware y obliga a cerrar sus sistemas de atención.

El organismo confirmó que el martes 31 de mayo fue víctima de un ciberataque que está siendo investigado. Según comunicaron, las bases de datos de EDUS (Expediente Digital Único en Salud), SICERE (Sistema Centralizado de Recaudación), planillas y pensiones no se vieron afectadas por el incidente. El sitio web está fuera de servicio y desde la CCSS explicaron que por prevención se dieron de baja todos los sistemas mientras se realizan los análisis correspondientes para tratar de restaurar los servicios críticos. Las autoridades también informaron que están trabajando en coordinación con el Ministerio de Ciencia y Tecnología y otras entidades para recuperarse del ataque.

 

Resumen de objetivos: Infraestructura Tecnológica, Comunicaciones, Educación.

 

 

 

APT Chino es evidenciado explotando Zero Day crítico presente en MS Office.

Actores de amenazas vinculados a China ahora están explotando activamente una vulnerabilidad de día cero de Microsoft Office (conocida como 'Follina') para ejecutar código malicioso de forma remota en sistemas Windows.

Descrito por Microsoft como una falla de ejecución remota de código en la herramienta de diagnóstico de soporte de Microsoft Windows (MSDT) y rastreado como CVE-2022-30190 , afecta a todas las plataformas de servidor y cliente de Windows que aún reciben actualizaciones de seguridad (Windows 7 o posterior y Windows Server 2008 o posterior).

 

Actor de amenazas iraní continúa desarrollando herramientas de explotación masiva

Recientemente, una empresa de infraestructura y construcción en el sur de los EE.UU. habría sido víctima de actividades de espionaje por parte de un grupo APT iraní conocido como “Phosphorus”.

Se sabe que el actor de amenazas explota las vulnerabilidades de Fortinet CVE-2018-13379, Exchange ProxyShell y log4j.

 

La campaña “Twisted Panda” tenía objetivos de espionaje contra organizaciones de defensa rusas.

Mencionado en un boletín anterior, la campaña con nombre clave “Twisted Panda”, dirigida en contra de Rusia, ha revelado conexiones con Stone Panda (también conocido como APT 10 , Cicada o Potasio) y Mustang Panda (también conocido como Bronze President, HoneyMyte o RedDelta).

Llamándolo una continuación de "una operación de espionaje de larga duración contra entidades relacionadas con Rusia que ha estado en funcionamiento desde al menos junio de 2021", se dice que los rastros más recientes de la actividad se observaron en abril de 2022.

 

Evidenciada campaña de APT28 utilizando documentos maliciosos.

Las macros maliciosas son una herramienta utilizada por actores de amenazas conocidos como APT28 y Muddy Water para ingresar a los sistemas de destino, sin embargo, han existido y causado problemas durante décadas. 

Estas técnicas de inicio abusan de las funciones integradas de Office de una manera que permite a los adversarios establecer la persistencia en el sistema de la víctima. Debido a que las macros infectarán otros archivos que la víctima usa después de abrir el archivo inicial, esto puede dificultar la purga del código malicioso.

 

Resumen de objetivos: Construcción, Tecnología, Defensa y Gobierno.

 

 

Kit de malware Eternity ofrece herramientas de ladrón, minero, gusano y ransomware.

Actores de amenazas han lanzado el 'Proyecto Eternity', un nuevo malware como servicio en el que sus “clientes” pueden comprar un conjunto de herramientas de malware que se puede personalizar con diferentes módulos según el ataque que se realice.

El kit de herramientas de malware es modular y puede incluir un infostealer, un cryptominer, un clipper, ransomware, gusanos y, pronto, también un bot DDoS (denegación de servicio distribuida), cada uno de los cuales se compra por separado.

 

Nueva botnet XLoader utiliza la teoría de la probabilidad para ocultar sus servidores.

Analistas de amenazas han detectado una nueva versión del malware de botnet XLoader que utiliza la teoría de la probabilidad para ocultar sus servidores de comando y control, lo que dificulta la interrupción del funcionamiento del malware.

Esto ayuda a los operadores de malware a continuar usando la misma infraestructura sin el riesgo de perder nodos debido a bloqueos en las direcciones IP identificadas y, al mismo tiempo, reduce las posibilidades de ser rastreados e identificados.


Amenaza a Linux por tres familias de malware que apuntan a IoT. 

IoT se ejecuta en Linux, con pocas excepciones, y la simplicidad de los dispositivos puede ayudar a convertirlos en víctimas potenciales. El volumen de malware dirigido a dispositivos que operan en Linux aumentó un 35 % en 2021 en comparación con 2020. Tres familias de malware representan el 22 % del total: XorDDoS, Mirai y Mozi. Siguen el mismo patrón de infectar dispositivos, acumularlos en una botnet y luego usarlos para realizar ataques DDoS .

 

Nueva campaña del troyano bancario Grandoreiro detectada en mayo.

Según los datos de investigaciones realizadas, los adversarios apuntan a clientes bancarios, entregando el malware a través de campañas de spam: el vector de ataque no ha cambiado desde las primeras distribuciones documentadas de esta amenaza de malware. La víctima recibe un señuelo de phishing: un correo electrónico en portugués o español, con adversarios detrás que imitan al “Servicio de Administración Tributaria” legítimo. Una nota falsa presenta una URL que obtiene un archivo PDF. Si el objetivo muerde el anzuelo y abre el PDF malicioso que dice provenir de DocuSign, es probable que termine descargando un archivo ZIP que contiene un instalador MSI. El instalador descarga una carga útil final, golpeando los objetivos con IP solo en los países latinos mencionados anteriormente.


Evidenciada campaña de distribución de malware del tipo RAT en Chile. 

Durante finales de mayo y principios de junio de 2022, fue evidenciada una campaña de distribución del RAT/INFOSTEALER AGENTTESLA en Chile, haciendo uso de cuentas de correo comprometidas, cuyo vector inicial de infección se distribuyó por medio de malspam.

 

Aumento de operaciones de carding en contra de bancos chilenos en canales de la deep web.

Durante el mes de mayo, se evidenció un aumento en las operaciones de carding y chequeo de bin number de diferentes bancos con presencia en Chile y el mundo, atrayendo la atención de numerosos clientes de habla hispana y portuguesa.

 

Campaña de Phishing en contra PAYPAL utiliza dominios chilenos para alojar kit de ataque.

Durante la última semana de mayo, se detectó una masiva campaña de Phishing contra clientes PAYPAL, alojando phishing kits en dominios registrados en Chile.

 

Evidenciada campaña de distribución de malware en Chile.

Durante la primera semana de junio, se evidenció una campaña de distribución del infostealer Formbook, por medio de cuentas oficiales comprometidas del gobierno de Uruguay y organizaciones particulares en Chile.


Aumento en campañas de smishing / phishing contra la banca chilena.

Entre finales de mayo y principios de junio de 2022, se evidenció un aumento en las campañas de smishing y phishing llevadas cabo en contra de clientes pertenecientes a entidades bancarias chilenas, incluyendo suplantación de identidad, abuso de marca y presencia fraudulenta en redes sociales.

 

El grupo de hackers WatchDog lanza una nueva campaña de cryptojacking de Docker

El grupo de hackers WatchDog está llevando a cabo una nueva campaña de cryptojacking con técnicas avanzadas para la intrusión, la propagación similar a un gusano y la evasión del software de seguridad. El grupo de piratería tiene como objetivo los puntos finales expuestos de la API del motor Docker y los servidores Redis y puede pasar rápidamente de una máquina comprometida a toda la red. El objetivo de los actores de amenazas es generar ganancias extrayendo criptomonedas utilizando los recursos computacionales disponibles de servidores con poca seguridad.

 

Resumen de objetivos: Banca, Tecnología.

 

 

 

Vulnerabilidad Zero Day de ejecución de código en Microsoft Office

Durante la semana pasada, investigadores de seguridad de Nao_sec identificaron un documento de Word de aspecto extraño siendo distribuido activamente, cargado desde una dirección IP en Bielorrusia. Esto resultó ser un vector para explotar una vulnerabilidad de día cero en Office y/o Windows.

Lo anterior, luego de que un investigador de la firma de seguridad estuviera buscando archivos en VirusTotal que explotaban CVE-2021-40444, donde “accidentalmente” se encontró con un archivo que abusa del esquema ms-msdt.

El exploit se basa en la utilización de un enlace externo de Word para cargar un archivo HTML y luego usa el esquema 'ms-msdt' para ejecutar el código por medio de PowerShell.

 

Aviso de Seguridad en CPU Intel que afecta a productos F5

F5 ha publicado un nuevo aviso de seguridad que contiene 2 vulnerabilidades que afectan a las CPU Intel operadas en F5OS-C y VELOS BX110 Blade. Estas vulnerabilidades son clasificadas como Severidad Baja con una puntuación de 3.3 según CVSS v3.

  • IMPORTANTE: Las actualizaciones de microcódigo de Intel están disponibles para abordar este problema, pero deben aplicarse a nivel de hardware, lo que está fuera del alcance de la capacidad de F5 para brindar soporte o aplicar parches.

 

Aviso de seguridad de Oracle que afecta a implementaciones que utilizan E-Business Suite

Esta alerta de seguridad aborda la vulnerabilidad CVE-2022-21500, que afecta a algunas implementaciones de Oracle E-Business Suite. Esta vulnerabilidad se puede explotar de forma remota sin autenticación, es decir, se puede explotar a través de una red sin necesidad de un nombre de usuario y contraseña.

Si se explota con éxito, esta vulnerabilidad puede resultar en la exposición de información de identificación personal.

Los entornos de nube de Oracle SaaS no se ven afectados por esta vulnerabilidad. Esta falla podría afectar las implementaciones de E-Business Suite de los clientes de Oracle Managed Cloud Services.

 

Vulnerabilidad en el Kernel de Linux que afecta a productos F5

F5 ha publicado un nuevo aviso de seguridad que afecta a BIG-IP, BIG-IQ Centralized Management y Traffix SDC. La vulnerabilidad es clasificada como Severidad Media con una puntuación de 5.3 según CVSS v3.

  • NOTA: Si bien es cierto que esta vulnerabilidad no es nueva, recientemente F5 se pronunció sobre esta falla e informó cómo afecta a sus productos.

 

Nueva vulnerabilidad Zero day que permite RCE descubierta en Atlassian Confluence

Durante el pasado fin de semana, el equipo de Volexity detectó actividad sospechosa en los servidores que ejecutan el software Atlassian Confluence Server, en los que se condujo una investigación que permitió descubrir webshells JSP en el disco del servidor, las que resultaron ser una copia de la variante JSP de la webshell China Chopper. 

Posterior a esto, los investigadores pudieron determinar que el compromiso del servidor se debió a que un atacante lanzó un exploit para lograr la ejecución remota de código. 


 

 

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente, en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, durante la semana del 30 de mayo al 05 de junio de 2022.

Objetivos observados durante semana de análisis: 

  • Infraestructura tecnológica.
  • Banca.
  • Defensa.
  • Gobierno.
  • Entretenimiento, cultura y arte.
  • Educación.
  • Construcción e inmobiliaria.

 

DEFCON 1

 


  • Banca y Finanzas
  • Infraestructura tecnológica

 

DEFCON 2

  • Gobierno
  • Defensa y orden público
  • Retail y servicios de consumo
  • Entretenimiento, cultura y arte
  • Educación
  • Construcción e inmobiliaria

 

DEFCON 3


  • Petróleo
  • Transportes y servicios automotrices.
  • Shipment y cadena de suministros
  • Industrias manufactureras, materiales y minería
  • Agricultura, ganadería, silvicultura y pesca.
  • Energía
  • Servicios de salud, sociales y farmacia.

 

DEFCON 4


  • Organizaciones sin fines de lucro
  • Servicios empresariales y comercio
  • Turismo, hoteles y restaurantes
  • Servicios legales y profesionales
  • Gas
  • Agua

 

 

 

 

Entel Corp.
Torre Entel,
Santiago, Chile
Enlaces Internos
Blogs de Seguridad


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.