ENTEL Weekly Threat Intelligence Brief del 13 al 19 de Junio de 2022

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe, es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

Keywords: Ransomware, APT, Malware, Vulnerabilidad, Exploit, Phishing

• La empresa Medco Energi Internasional Tbk de Indonesia es comprometida por ataque de ransomware.
• Empresa de software financiero es atacada por ransomware y se agrega a su lista de víctimas.
• APT chino explota vulnerabilidad 0-day en firewall Sophos.
• Grupo APT vinculado a China agrega gobiernos y compañías financieras a su lista de objetivos.
• Nueva campaña del troyano bancario Mekotio es evidenciada en LATAM.
• Campaña de phishing suplantando MS Outlook dirigida a usuarios chilenos.
• Fallas encontradas en el sistema de gestión de redes industriales de Siemens.
• Vulnerabilidad Hertzbleed afecta a casi todos los procesadores Intel y AMD modernos

Hospital de Arizona sufre filtración de datos por ataque de ransomware.

Un hospital en Yuma, Arizona, está enviando cartas de notificación de incumplimiento a más de 700,000 pacientes después de que un ataque de ransomware en abril condujo a una violación de datos que involucraba números de Seguro Social.

El Centro Médico Regional de Yuma (YRMC) indicó que descubrió un ataque de ransomware el 25 de abril e inmediatamente desconectó los sistemas antes de contactar a los expertos en seguridad cibernética y a las fuerzas del orden.

Ningún grupo de ransomware ha reclamado públicamente el crédito por el ataque todavía.

Error en Confluence es explotado en ataques de ransomware AvosLocker y Cerber2021.

Algunos grupos de ransomware están abusando de una vulnerabilidad RCE ya parcheada en las instancias de Atlassian Confluence Server y Data Center. La vulnerabilidad, que ya está siendo abusada por algunas infraestructuras de bots nuevas, está siendo explotada activamente para el acceso inicial a las redes de destino. 

Hace una semana, se evidenció la explotación de la falla CVE-2022-26134 para instalar shells web para lograr la ejecución remota de código.

Grupos de ransomware están utilizando servidores Exchange sin parches para obtener acceso.

Según una investigación de Microsoft, se detectó al menos un grupo de ransomware que utiliza vulnerabilidades de Exchange Server para implementar el ransomware BlackCat en las redes del objetivo. 

El FBI advirtió en abril que los afiliados de BlackCat usan credenciales de usuario previamente comprometidas para obtener acceso inicial a la red de una víctima, pero no identificó las fallas de Exchange como punto de entrada.

Grupo de ransomware crea un sitio para que empleados busquen sus datos robados.
El grupo de ransomware ALPHV, también conocido como BlackCat, llevó la extorsión a un nuevo nivel al crear un sitio web dedicado que permite a los clientes y empleados de su víctima verificar si sus datos fueron robados en un ataque.

Cuando los grupos de ransomware realizan ataques, roban silenciosamente datos corporativos. Después de recolectar todo lo valioso, el actor de amenazas comienza a cifrar los dispositivos, para utilizar este vector como doble extorsión.

Investigadores descubren una forma de atacar archivos de SharePoint y OneDrive con ransomware.

Investigadores han descubierto una funcionalidad dentro de Office 365 que podría permitir a los atacantes rescatar archivos almacenados en SharePoint y OneDrive. Al informar a Microsoft, se les dijo a los investigadores que el sistema "funciona según lo previsto". Es decir, es una característica, no un defecto.

Durante mucho tiempo se ha considerado que los archivos almacenados y editados en la nube son resistentes a la extorsión de cifrado: las funciones de guardado automático y control de versiones deberían proporcionar suficiente capacidad de copia de seguridad.

La Universidad de Pisa en Italia sufre un ataque de ransomware.

BlackCat, o ALPHV, un grupo de ransomware como servicio (RaaS), se atribuyó la responsabilidad del ataque cibernético y emitió una nota de rescate, indicando que la Universidad tiene hasta el 16 de junio para pagar el rescate. El actor de amenazas dice que el rescate aumentará a $ 5 millones si no se recibe el pago.

Una investigación  reciente de Microsoft  dice que el actor de amenazas es un excelente ejemplo de la creciente economía de conciertos de RaaS y es digno de mención debido a su lenguaje de programación no convencional (Rust). Usando un "lenguaje moderno para su carga útil", este ransomware intenta evadir la detección, especialmente por parte de las soluciones de seguridad convencionales. 

La empresa Medco Energi Internasional Tbk de Indonesia es comprometida por ataque de ransomware.

El grupo de ransomware Lockbit 2.0 se adjudicó el compromiso de la empresa MEDCO ENERGI el pasado 17 de junio.

La compañía se dedica a la producción de energía en base a petróleo y gas, operando en exploración y producción de petróleo y gas, energía, servicios, productos químicos y alquiler de propiedades.

Empresa de software financiero es atacada por ransomware y se agrega a su lista de víctimas.

Durante la jornada del día 17 de junio, el grupo de ransomware Avos Locker se adjudicó el compromiso de CR2, una empresa de software financiero que ofrece soluciones digitales, de autoservicio y de pagos con altos ingresos en Irlanda.

Ataque de ransomware contra el Consejo sobre el Envejecimiento (COA) en EE.UU.

Una organización local sin fines de lucro que trabaja con miles de personas mayores ha sufrido un ataque de ransomware en sus sistemas informáticos.

El director del Consejo sobre el Envejecimiento del Condado de Buncombe cree que alguien atacó las computadoras de la organización sin fines de lucro con ransomware el lunes pasado y que el personal estaba preocupado de que se pudiera haber robado información privada.

Grupo ALPHV afirma haber atacado las Escuelas Públicas de Plainedge.

Los actores de amenazas ALPHV (también conocidos como BlackCat) agregaron un distrito escolar de Long Island a su sitio de leaks:  Plainedge Public Schools . El grupo de ransomware no ha comenzado a filtrar ninguna base de datos, pero advierte al distrito que lo harán si no efectúan el pago.

Grupos de extorsión atacan a Shoprite, la cadena de supermercados más grande de África.

El viernes pasado, la empresa reveló que sufrió un incidente de seguridad y advirtió a los clientes en Esuatini, Namibia y Zambia que su información personal podría haberse visto comprometida debido a un ataque cibernético.

El grupo de ransomware conocido como RansomHouse asumió la responsabilidad del ataque y publicó una muestra de evidencia de 600 GB de datos que afirma haber robado del minorista durante el ataque.

APT chino explota vulnerabilidad 0-day en firewall Sophos.

El sofisticado grupo chino APT Drifting Cloud está implementando ataques Man-in-the-middle a través de la explotación de una vulnerabilidad de día cero en el firewall de Sophos.

Drifting Cloud aprovechó la falla ya parchada, rastreada como CVE-2022-1040, para comprometer el firewall antes de implementar una webshell - backdoor, establecer persistencia y atacar al personal de la organización. 

Funcionarios estadounidenses e israelíes atacados en operación de APT iraní.

Se sospecha que el grupo de piratería patrocinado por el estado iraní Phosphorus, también conocido como APT35, Charming Kitten, Magic Hound y Newscaster Team , está detrás de una campaña de phishing dirigida contra un ex embajador de EE.UU., oficiales militares de alto rango y líder de un grupo de expertos en seguridad.

Los investigadores de Check Point descubrieron que los atacantes han aprovechado cuentas de correo electrónico legítimas y falsificadas, una página de phishing de recolección de credenciales que se hace pasar por Yahoo, un acortador de URL falso y un servicio de verificación de documentos, que busca filtrar los datos personales de los objetivos, obtener escaneos de pasaportes y comprometer sus correos electrónicos

Grupo APT vinculado a China agrega gobiernos y compañías financieras a su lista de objetivos.

Según investigadores de la Unidad 42 de Palo Alto Networks, un presunto equipo de amenazas avanzado vinculado a China, conocido por apuntar a la infraestructura de telecomunicaciones, está ampliando su cartera para alcanzar a entidades en los sectores financiero y gubernamental, haciendo uso de un nuevo malware.

El grupo de amenazas conocido como GALLIUM ha sido detectado aprovechando una nuevo troyano de acceso remoto, denominada PingPull, que está escrita en Visual, C++ y utiliza tres protocolos de red de Internet diferentes para identificar sistemas comprometidos y comunicarse con la infraestructura de comando y control.

Grupo APT Sandworm nuevamente apunta a organizaciones de medios ucranianas.

La vulnerabilidad de día cero de Microsoft Office rastreada como CVE-2022-30190, también conocida como Follina, aún sigue siendo explotada activamente por múltiples organizaciones de amenazas en todo el mundo. 

El 10 de junio de 2022, CERT-UA lanzó una nueva alerta sobre ciberataques en curso dirigidos a organizaciones de medios de comunicación ucranianas. Los actores de amenazas continúan aprovechando la vulnerabilidad CVE-2022-30190 en la última campaña de correo electrónico malicioso destinada a entregar la variante de malware llamada CrescentImp e infectar los sistemas objetivo. 

La actividad maliciosa se identifica como UAC-0113, que, según los investigadores, puede atribuirse al grupo APT ruso Sandworm observado anteriormente en ataques cibernéticos a organizaciones ucranianas. 

Grupo Moses Staff amenaza infraestructura de energía eléctrica israelí.

El grupo de avanzado de amenazas iraní, nuevamente amenaza con atacar a Israel, después de que publicaran en su sitio de “actividades”, información sobre la Compañía Eléctrica de Israel, además de otros objetivos relacionados a defensa y vigilancia, donde se observa que el grupo poseería poder de fuego de alto calibre para ser empleado en operaciones de sabotaje.

Grupo APT chino apunta al gobierno de Vietnam por medio de campañas de malspam.

Recientemente, se identificó una operación de vigilancia en curso dirigida en contral del gobierno de Vietnam. Los atacantes usan spear-phishing para obtener acceso inicial y aprovechar las antiguas vulnerabilidades de Microsoft Office (CVE-2018-0798) junto con la cadena de cargadores en memoria para intentar instalar una puerta trasera previamente desconocida en las máquinas de las víctimas.

La investigación muestra que la operación fue realizada por el grupo APT chino SharpPanda que ha estado probando y refinando las herramientas en su arsenal durante al menos 4 años.

Descubierta operación de vigilancia llevada a cabo en contra de ciudadanos.

Se detectó por primera vez muestras de esta campaña en abril de 2022. Se titulaba "oppo.service" y se hacía pasar por el fabricante electrónico chino Oppo. El sitio web que utilizó el malware para enmascarar su actividad maliciosa es una página de soporte oficial de Oppo (http://oppo-kz.custhelp[.]com) en el idioma kazajo que desde entonces ha estado offline. También se halló  muestras que se hacen pasar por proveedores Samsung y Vivo.

Un análisis de la herramienta Hermit sugiere que no solo se ha desplegado en Kazajstán, sino que es probable que una entidad del gobierno nacional esté detrás de la campaña.

Nueva campaña del troyano bancario Mekotio es evidenciada en LATAM.

Durante la semana del 13 al 17 de junio, se evidenció una nueva campaña del troyano bancario Mekotio, con claros objetivos de público en Argentina, Brasil, Chile, Colombia, Ecuador, España, México y Perú, mateniendo su tradicional vector de ataque por medio de malspam y suplantando entidades gubernamentales.

Campaña de phishing suplantando MS Outlook dirigida a usuarios chilenos.

El día 16 de junio, se detectó una nueva campaña de phishing suplantando el acceso a una cuenta de MS Outlook dirigida a usuarios en Chile, la que busca efectuar robo de usuario y contraseñas de acceso a plataformas legítimas del servicio de correo ofrecido por Microsoft.

Fraude efectuado a Walmart Chile habría sido por medio de aplicativo de pagos.

Al menos 100 clientes del supermercado Líder han sido víctimas de un fraude cibernético a través del sitio Lider.cl, asegurando que se trata de un "sabotaje informático".

Un cliente denunció a finales del año pasado que se utilizó de manera indebida su cuenta de usuario en la plataforma web y que incluso se realizó un cobro en su cuenta bancaria a raíz de una compra que, asegura, nunca realizó.

En la indagatoria se logró identificar que las cuentas hackeadas tenían un denominador común: todas tenías asociadas el método de pago «Web Pago One Click1», de Transbank, que autoriza el pago con un clic. De esta manera, los hackers no necesitaron de ningún dato extra para realizar la transacción. El único cambio realizado por los ciberdelincuentes fue en el e-mail, pues entregaban el de una tercera persona que pasaría a recoger los productos comprados, materializando así el fraude y sin dejar huella, pues la confirmación del pedido y la boleta se enviaban a dicho correo.

Falla en Atlassian Confluence usada para implementar ransomware y criptominers.

Una falla de seguridad crítica recientemente parchada en los productos Atlassian Confluence Server y Data Center se está utilizando activamente como arma en ataques para implantar mineros de criptomonedas y cargas útiles de ransomware.

En al menos dos de los incidentes relacionados con Windows observados por el proveedor de seguridad cibernética Sophos, los adversarios explotaron la vulnerabilidad para distribuir el ransomware Cerber y un criptominero llamado z0miner en las redes de las víctimas.

Autoridades cierran la botnet rusa RSOCKS que hackeó millones de dispositivos.

El Departamento de Justicia de EE. UU. (DoJ) reveló el jueves que eliminó la infraestructura asociada con una botnet rusa conocida como RSOCKS, en colaboración con socios encargados de hacer cumplir la ley en Alemania, Países Bajos y  Reino Unido.

Se cree que la red de bots, operada por una organización sofisticada de delitos cibernéticos, atrapó a millones de dispositivos conectados a Internet, incluidos dispositivos de Internet de las cosas (IoT), teléfonos Android y computadoras para usar como un servicio de proxy.

MaliBot: un nuevo troyano bancario para Android descubierto en recientes ataques.

Se ha detectado una nueva variedad de malware para Android que se dirige a clientes de banca en línea y billeteras de criptomonedas en España e Italia, solo unas semanas después de que una operación coordinada de aplicación de la ley desmanteló FluBot .

El troyano de robo de información, cuyo nombre en código es MaliBot, tiene tantas funciones como sus contrapartes , lo que le permite robar credenciales y cookies, omitir los códigos de autenticación multifactor (MFA) y abusar del Servicio de accesibilidad de Android para monitorear la pantalla del dispositivo de la víctima.

Panchan: una nueva botnet peer-to-peer basada en Golang dirigida a servidores Linux.

Una nueva botnet peer-to-peer (P2P) basada en Golang que apunta activamente a servidores Linux en el sector educativo, fue descubierta en operación desde al menos marzo de 2022.

Apodado Panchan por Akamai Security Research, el malware "utiliza sus funciones de concurrencia integradas para maximizar la capacidad de propagación y ejecutar módulos de malware" y "recopila claves SSH para realizar movimientos laterales".

El botnet repleto de funciones, que se basa en una lista básica de contraseñas SSH predeterminadas para llevar a cabo un ataque de diccionario y expandir su alcance, funciona principalmente como un cryptojacker diseñado para secuestrar los recursos de una computadora para extraer criptomonedas.

Nuevo rootkit Syslogk Linux permite a los atacantes controlarlo de forma remota mediante "magic packets".

Un nuevo rootkit que pasa encubierto en el kernel de Linux llamado Syslogk ha sido descubierto en desarrollo y ocultando una carga útil maliciosa que puede ser comandada remotamente por un adversario utilizando un paquete de tráfico de red “mágico”.

El rootkit Syslogk se basa en gran medida en Adore-Ng, pero incorpora nuevas funcionalidades que hacen que la aplicación en modo usuario y el rootkit del kernel sean difíciles de detectar.

Hackers chinos distribuyen billeteras Web3 con puerta trasera para usuarios de iOS y Android.

Un actor de amenazas técnicamente sofisticado conocido como SeaFlower ha estado apuntando a los usuarios de Android e iOS como parte de una extensa campaña que imita los sitios web oficiales de billeteras de criptomonedas con la intención de distribuir aplicaciones de puerta trasera que agotan los fondos de las víctimas.

Se dice que se descubrió por primera vez en marzo de 2022, el grupo muestra indicios de una relación sólida con una entidad de habla china aún por descubrir, según los nombres de usuario de macOS, los comentarios del código fuente en el código de la puerta trasera y su abuso de la red de entrega de contenido (CDN) de Alibaba. 

Una característica de Microsoft Office 365 podría ayudar a operadores de ransomware a comprometer archivos en la nube.

Se ha descubierto una "funcionalidad peligrosa" en la suite de Microsoft 365 que podría ser potencialmente abusada por un actor malicioso para rescatar archivos almacenados en SharePoint y OneDrive y lanzar ataques a la infraestructura de la nube.

El ataque de ransomware en la nube permite lanzar malware para cifrar archivos almacenados en SharePoint y OneDrive de una manera que los haga irrecuperables sin copias de seguridad dedicadas o una clave de descifrado del atacante.

La secuencia de infección se puede llevar a cabo utilizando una combinación de API de Microsoft, scripts de interfaz de línea de comandos (CLI) y scripts de PowerShell.

PureCrypter es actualizado para aumentar la actividad maliciosa.

Investigadores de seguridad han observado la actividad de una versión más avanzada de un cargador de malware completamente funcional denominado PureCrypter que ha estado distribuyendo activamente troyanos de acceso remoto (RAT) e Infostealers desde marzo de 2021. 

Las muestras de malware notorias entregadas con PureCrypter incluyen AsyncRAT , LokiBot , Remcos , Warzone RAT , NanoCore , Arkei Stealer y RedLine Stealer . Las funciones actualizadas del cargador de malware PureCrypter incluyen nuevos módulos enriquecidos con técnicas adicionales de antianálisis, cifrado avanzado y ofuscación que permiten a los operadores de malware evadir la detección.

Patch Day SAP – Junio 2022

En el martes de parches de junio del 2022 SAP publicó 10 nuevos  avisos de seguridad para sus productos, de los cuales 2 son de Severidad Alta, 6 de Severidad Media y 2 Bajas. Además, se incluyen dos actualizaciones abordadas anteriormente.

Patch Tuesday de junio de Microsoft corrige 55 vulnerabilidades.

En su actualización programada para el martes de parches de junio del 2022, Microsoft  informó  55 correcciones de seguridad, 3 son catalogadas como Críticas permitiendo la ejecución remota de código y el resto de vulnerabilidades son de severidad Importante. 

Cisco publica 7 nuevos avisos de seguridad.

Cisco ha publicado 7 nuevos avisos de seguridad. Dentro de ellos encontramos 7 vulnerabilidades, que se clasifican como: 2 de Severidad Crítica, 1 de Severidad Alta  y 4 de Severidad Media. 

Las vulnerabilidades publicadas afectan a productos como:

• Cisco AsyncOS
• Cisco Small Business RV Series Routers
• Cisco ISE
• Cisco IP Phones.

Vulnerabilidades en productos Citrix.

Citrix ha publicado nuevos avisos de seguridad que contemplan 9 vulnerabilidades, dos de severidad Crítica, dos de severidad Alta y cuatro de severidad Media. Estas fallas, afectan a productos como Citrix SD-WAN, Citrix Application Delivery Management, Citrix StoreFront, Citrix Endpoint Management (XenMobile Server) y Citrix Hypervisor.

Fallas encontradas en el sistema de gestión de redes industriales de Siemens.

Los investigadores de ciberseguridad han revelado detalles sobre 15 fallas de seguridad en el sistema de gestión de red (NMS) Siemens SINEC, algunas de las cuales podrían ser encadenadas por un atacante para lograr la ejecución remota de código en los sistemas afectados.

Las deficiencias en cuestión, rastreadas desde CVE-2021-33722 hasta CVE-2021-33736, fueron abordadas por Siemens en la versión V1.0 SP2 Update 1 como parte de las actualizaciones enviadas el 12 de octubre de 2021.

Vulnerabilidad RCE de alta gravedad informada en la popular biblioteca Fastjson.

Investigadores de seguridad han detallado una vulnerabilidad de seguridad de alta gravedad recientemente parchada en la popular biblioteca Fastjson que podría explotarse potencialmente para lograr la ejecución remota de código.

Registrado como CVE-2022-25845 (puntaje CVSS: 8.1), el problema se relaciona con un caso de deserialización de datos que no son de confianza en una función compatible llamada "AutoType". Fue parchado por los mantenedores del proyecto en la versión 1.2.83 lanzada el 23 de mayo de 2022.

Fastjson es una biblioteca de Java que se utiliza para convertir objetos de Java en su representación JSON y viceversa. AutoType , la función vulnerable a la falla, está habilitada de forma predeterminada y está diseñada para especificar un tipo personalizado al analizar una entrada JSON que luego se puede deserializar en un objeto de la clase adecuada.

Vulnerabilidad Hertzbleed afecta a casi todos los procesadores Intel y AMD modernos.

Esta semana, se reveló un nuevo ataque de canal lateral que permite a atacantes remotos robar claves criptográficas completas. Esto se puede hacer observando las variaciones en la frecuencia de la CPU habilitadas por el escalado dinámico de voltaje y frecuencia (DVFS).

El ataque aprovecha fallas en Intel ( CVE-2022-24436 ) y AMD ( CVE-2022-23823 ).

Muestra que en las CPU x86 modernas, los ataques de canal lateral de energía se pueden convertir en ataques de tiempo remoto y no se requiere ninguna interfaz de medición de energía.

Además, los ataques de Hertzbleed demostraron que el código criptográfico aún se puede filtrar a través del análisis de tiempo remoto incluso cuando se implementa correctamente como "tiempo constante".

Elasticsearch sin contraseña ni cifrado filtra un millón de registros.

Investigadores del servicio de recomendación de productos de seguridad Safety Detectives afirman que han encontrado casi un millón de registros de clientes completamente abiertos en un servidor de Elasticsearch administrado por el proveedor de software de punto de venta de Malasia, StoreHub.

Los productos de StoreHub ofrecen puntos de venta y pedidos en línea y, por lo tanto, el proveedor almacena datos sobre las empresas que ejecutan sus productos y las actividades de los compradores individuales.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 20 al 26 de Junio de 2022:

Objetivos observados durante semana de análisis: 

• Banca y Finanzas
• Defensa y orden público
• Educación
• Energía
• Gas
• Gobierno
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Retail y servicios de consumo
• Servicios de salud, sociales y farmacia.
• Servicios legales y profesionales

• Banca y Finanzas
• Energía
• Infraestructura tecnológica
• Retail y servicios de consumo

• Educación

• Defensa y orden público
• Gas
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios de salud, sociales y farmacia.
• Servicios legales y profesionales

• Agricultura, ganadería, silvicultura y pesca.
• Agua
• Construcción e inmobiliaria
• Entretenimiento, cultura y arte
• Industrias manufactureras, materiales y minería
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes

Campaña Mekotio Chile

Gallium APT - PingPull