ENTEL Weekly Threat Intelligence Brief del 04 al 10 de julio de 2022

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe, es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

Keywords: Ransomware, APT, Malware, Vulnerabilidad, Exploit, Phishing

• El ransomware AstraLocker cesa operaciones y libera descifradores.
• Nuevo Ransomware RedAlert apunta a servidores Windows, Linux VMware ESXi.
• Lazarus APT lanza opreaciones con YamaBot.
• APT Norcoreanos utilizan Maui Ransomware para apuntar al sector de la salud.
• Nuevo malware MetaStealer mantiene campañas activas en Chile.
• Campañas de malware de devolución de llamadas se hacen pasar por empresas de ciberseguridad.
• Microsoft corrige silenciosamente el error ShadowCoerce Windows NTLM Relay.
• Google lanza actualización para Chrome y corrige exploit de día cero explotado indiscriminadamente.

CISA advierte sobre la actividad más reciente del ransomware MedusaLocker.

La Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el Departamento del Tesoro y la Red de Control de Delitos Financieros (FinCEN) han emitido un aviso conjunto para destacar una actividad reciente del ransomware MedusaLocker. 

Para los no iniciados, MedusaLocker surgió en 2019 y desde entonces ha estado ampliando su superficie de ataque para maximizar las ganancias.

El ransomware AstraLocker cesa operaciones y libera descifradores.

Un actor de amenazas detrás del ransomware AstraLocker indicó en foros que están cerrando la operación y planean cambiar a cryptojacking.

El desarrollador del ransomware envió un archivo ZIP con descifradores AstraLocker a la plataforma de análisis de malware VirusTotal.

Si bien solo se probó un descifrador con éxito, es probable que otros descifradores en el archivo estén diseñados para descifrar archivos cifrados en campañas anteriores.

Hive Ransomware se actualiza a Rust para un método de cifrado más sofisticado.

Los operadores del esquema ransomware-as-a-service (RaaS) de Hive, han revisado su software de cifrado de archivos para migrar completamente a Rust y adoptar un método de cifrado más sofisticado.

Con su última variante que incluye varias actualizaciones importantes, Hive también demuestra que es una de las familias de ransomware de más rápida evolución, lo que ejemplifica el ecosistema de ransomware en constante cambio.

Nuevo Ransomware RedAlert apunta a servidores Windows, Linux VMware ESXi.

Una nueva operación de ransomware llamada RedAlert, o N13V, cifra los servidores VMWare ESXi de Windows y Linux en ataques a redes corporativas.

La nueva operación fue descubierta por MalwareHunterTeam,  quien tuiteó  varias imágenes del sitio de fuga de datos del grupo.

El ransomware se ha llamado 'RedAlert' en base a una cadena utilizada en la nota de rescate. Sin embargo, a partir de un cifrador de Linux, los actores de la amenaza llaman internamente a su operación 'N13V'. 

DragonForce Malaysia amenaza con un ataque de ransomware generalizado.

Los investigadores de CloudSEK han presentado un video PoC y han proporcionado un análisis adicional en un aviso . La falla explotada se rastrea como CVE-2022-26134 , que existe en Confluence.

Al principio, los investigadores vieron una publicación en un canal de Telegram donde se publicó un video que explicaba el exploit.

El grupo hacktivista de Malasia publicó la publicación el 23 de junio y la vinculó con un actor de amenazas, denominado Impossible1337.

Además, el grupo publicó un blog en su sitio web oficial, anunciando sus planes para lanzar ataques de ransomware generalizados, con ataques enfocados en India.

Nuevo ransomware HavanaCrypt se hace pasar por la aplicación de actualización de software de Google.

Recientemente, se encontró una nueva familia de ransomware que emplea un esquema donde se disfraza como una aplicación de actualización de software de Google y usa una dirección IP del servicio de alojamiento web de Microsoft como su servidor de comando y control (C&C) para eludir la detección. 

La investigación también muestra que este ransomware utiliza la función QueueUserWorkItem , un método de espacio de nombres .NET System.Threading que pone en cola un método para su ejecución, y los módulos de KeePass Password Safe , un administrador de contraseñas de código abierto, durante su rutina de cifrado de archivos.

QNAP advierte sobre el nuevo ransomware Checkmate dirigido a dispositivos NAS.

El proveedor de almacenamiento conectado a la red (NAS) QNAP advirtió a los clientes que protegieran sus dispositivos contra ataques que utilizan el ransomware Checkmate para cifrar datos.

QNAP dice que los ataques se centran en dispositivos QNAP expuestos a Internet con el servicio SMB habilitado y cuentas con contraseñas débiles que pueden descifrarse fácilmente en ataques de fuerza bruta.

"Recientemente nos llamó la atención un nuevo ransomware conocido como Checkmate", dijo el fabricante de NAS en un aviso de seguridad publicado el jueves.

"La investigación preliminar indica que Checkmate ataca a través de servicios SMB expuestos a Internet y emplea un ataque de diccionario para romper cuentas con contraseñas débiles".

Checkmate es una cepa de ransomware descubierta recientemente, implementada por primera vez en ataques alrededor del 28 de mayo, que agrega una extensión .checkmate a los archivos cifrados y suelta una nota de rescate llamada !CHECKMATE_DECRYPTION_README.

Nuevo ransomware 0mega se dirige a las empresas en ataques de doble extorsión.

Una nueva operación de ransomware llamada '0mega' se dirige a organizaciones de todo el mundo en ataques de doble extorsión y exige millones de dólares en rescates.

0mega (escrito con cero) es una nueva operación de ransomware lanzada en mayo de 2022 y ha atacado a numerosas víctimas desde entonces.

Aún no se ha encontrado una muestra de ransomware para la operación 0mega, por lo que no hay mucha información sobre cómo se cifran los archivos.

Sin embargo, se sabe que el ransomware agrega la  extensión .0mega  a los nombres de los archivos cifrados y crea notas de rescate denominadas  DECRYPT-FILES.txt .

Operador telefónico francés La Poste Mobile sufrió un ataque de ransomware.

El ataque de ransomware golpeó al operador de telefonía móvil virtual La Poste Mobile el 4 de julio y paralizó los servicios administrativos y de gestión. 

La empresa señaló que los actores de amenazas pueden haber accedido a los datos de sus clientes, por lo que les recomienda estar atentos. La empresa destaca los riesgos de robo de identidad o ataques de phishing en caso de que sus datos se hayan visto comprometidos.

La Universidad de Maastricht terminó ganando dinero con el pago de su rescate.

La Universidad de Maastricht (UM), una universidad holandesa con más de 22.000 estudiantes, dijo la semana pasada que había recuperado el rescate pagado tras un ataque de ransomware que golpeó su red en diciembre de 2019.

Después de una investigación exhaustiva del incidente, la empresa de seguridad cibernética Fox-IT vinculó el ataque con un grupo de piratas informáticos motivado financieramente rastreado como TA505 (o SectorJ04), conocido por apuntar principalmente a organizaciones minoristas y financieras desde al menos el tercer trimestre de 2014.

Los piratas informáticos se infiltraron en los sistemas de la universidad a través de correos electrónicos de phishing a mediados de octubre e implementaron cargas útiles de ransomware Clop en 267 sistemas Windows el 23 de diciembre, luego de moverse lateralmente a través de la red.

Una semana después, el 30 de diciembre, la universidad decidió pagar el rescate para descifrar sus archivos después de decidir que reconstruir todos los sistemas infectados desde cero o crear un descifrador no eran opciones viables.

Ataque de ransomware Quantum afecta a 657 organizaciones de atención médica.

Professional Finance Company Inc. (PFC), una empresa de administración de cuentas por cobrar de servicio completo, dice que un ataque de ransomware a fines de febrero provocó una violación de datos que afectó a más de 600 organizaciones de atención médica.

Fundada en 1904, PFC ayuda a miles de organizaciones de atención médica, gubernamentales y de servicios públicos en los EE. UU. a garantizar que los clientes paguen sus facturas a tiempo. La compañía comenzó a notificar a los pacientes de los proveedores de atención médica afectados el 5 de mayo, diciendo que una investigación en curso descubrió que los atacantes accedieron a archivos que contenían su información personal antes de cifrar algunos de los sistemas de PFC.

APT con sede en China juega su “tarjeta de actualización automática” para desplegar WinDealer.

Los actualizadores automáticos pueden ayudar a cerrar la puerta a ataques conocidos y vulnerabilidades de seguridad al permitir que los proveedores de software parchen sus propios productos automáticamente, pero recientemente, actores de amenazas del grupo LuoYu han convertido esta característica de uso común en un arma para comprometer las máquinas de las víctimas.

Estos atacantes han estado utilizando una técnica mencionada en documentos filtrados por el famoso desertor de la NSA Edward Snowden, llamada ataque Quantum Insert o Man-on-the-Side (MotS). Estos se utilizan junto con ataques de watering-hole en aplicaciones populares de mensajería de Android para implementar malware, incluido WinDealer.

 Descubierto malware casi indetectable vinculado a Cozy Bear APT.

El equipo de inteligencia de amenazas de la Unidad 42 de Palo Alto Networks ha afirmado que una pieza de malware que 56 productos antivirus no pudieron detectar es evidencia de que los atacantes respaldados por el estado han encontrado nuevas formas de abordar el mal negocio.

Los analistas de Unit 42 afirman que el malware se detectó en mayo de 2022 y contiene una carga útil maliciosa que sugiere que se creó con una herramienta llamada Brute Ratel (BRC4). En su sitio web, BRC4 se describe como "Un centro de comando y control personalizado para Red Team y Adversary Simulation". Los autores de la herramienta incluso afirman que aplicaron ingeniería inversa al software antivirus para hacer que BRC4 sea más difícil de detectar.

Bitter APT continúa apuntando a Bangladesh.

El equipo Falcon de SECUINFRA identificó un ataque reciente en consonancia con la campaña dirigida a Bangladesh realizada por el grupo de amenaza persistente avanzado "Bitter", también conocido como T-APT-17.

Bitter emplea archivos de documentos maliciosos como señuelos que contienen diferentes implementaciones de los llamados "Equation Editor exploits" para descargar las siguientes etapas de malware.

La segunda etapa consta de un cargador, que recopila información sobre el sistema infectado y recupera la tercera etapa de un servidor remoto.

La tercera etapa de un ataque de Bitter puede presentar diferentes tipos de malware, por ejemplo, registradores de teclas, ladrones o troyanos de acceso remoto (RAT), mencionada como "Almond RAT".

Nuevo RAT sigiloso utilizado por Gallium APT.

Los investigadores informan nuevos ataques con un troyano de acceso remoto (RAT) actualizado denominado PingPull lanzado por piratas informáticos de Gallium. El Gallium APT ha existido desde al menos 2012 y lleva las marcas de lo que probablemente sea un actor de amenazas del estado-nación, que se cree que está respaldado por el gobierno chino. Su actividad más reciente se caracteriza por el esfuerzo de APT por evolucionar y expandir los conjuntos de herramientas de malware utilizados. En sus ataques anteriores, los piratas informáticos de Gallium emplearon el malware Gh0st RAT y Poison Ivy, esta vez atacando con PingPull RAT.

Lazarus APT lanza opreaciones con YamaBot.

El malware YamaBot tenía como objetivo el sistema operativo Linux, pero otro tipo encontrado recientemente tiene como objetivo el sistema operativo Windows. YamaBot es un malware codificado en Golang, con una funcionalidad ligeramente diferente entre los tipos creados para cada plataforma. Además de YamaBot, Lazarus también creó varios otros tipos de malware dirigidos a múltiples plataformas, como VSingle . 

APT Norcoreanos utilizan Maui Ransomware para apuntar al sector de la salud.

Desde mayo de 2021, el FBI ha observado y respondido a múltiples incidentes de ransomware de Maui en organizaciones del Sector HPH. Los ciberactores patrocinados por el estado de Corea del Norte utilizaron el ransomware Maui en estos incidentes para cifrar los servidores responsables de los servicios de atención médica, incluidos los servicios de registros médicos electrónicos, los servicios de diagnóstico, los servicios de imágenes y los servicios de intranet. En algunos casos, estos incidentes interrumpieron los servicios proporcionados por las organizaciones del Sector HPH objetivo durante períodos prolongados. Se desconocen los vectores de acceso inicial para estos incidentes.

Maui ransomware ( maui.exe) es un binario cifrador, que parece estar diseñado para ejecución manual por un actor remoto. El actor remoto utiliza la interfaz de línea de comandos para interactuar con el malware e identificar archivos para cifrar. 

China atrae a estudiantes y buscadores de empleo a operaciones de espionaje contra objetivos occidentales.

China está reclutando activamente a estudiantes universitarios para operaciones de espionaje contra objetivos occidentales. Según los detalles, Hainan Xiandun, una empresa de tecnología china, busca estudiantes como traductores de inglés, incluso después de que las agencias de aplicación de la ley de EE. UU. Acusaron a Beijing de establecer tales empresas como un "frente" para operaciones de espionaje contra objetivos occidentales.

Los piratas informáticos con presuntos vínculos con las agencias de inteligencia de China siguen publicitando nuevos reclutas para trabajar en espionaje cibernético, incluso después de que la Oficina Federal de Investigaciones (FBI) acusara a los perpetradores en un esfuerzo por interrumpir sus actividades.

Según una acusación federal de EE. UU. de 2021, una empresa china, Hainan Xiandun, sirvió como fachada para la organización de piratería china APT40. Los servicios de inteligencia occidentales informaron anteriormente que el Ministerio de Seguridad del Estado de China envió APT40 para infiltrarse en universidades, empresas y organizaciones gubernamentales en los EE. UU., Canadá, Europa y Medio Oriente.

Ataque de actor malicioso desconocido muestra lo fácil que es inundar Israel.

Los piratas informáticos han descubierto que el sistema de alcantarillado de la ciudad costera israelí de Or Akiva está completamente expuesto en la web, sin ninguna protección básica. Los investigadores cibernéticos israelíes dicen que muchos sistemas industriales en Israel y en el extranjero están expuestos a ataques similares, que permiten a los piratas informáticos obtener acceso, tomar el control de los sistemas y causar daños físicos.

El jueves, los piratas informáticos publicaron una foto que muestra la interfaz gráfica del sistema de control de bombas de aguas residuales en Or Akiva. Un examen reveló que la interfaz estaba completamente desprotegida y ni siquiera requería una contraseña y el sitio web no usaba el Protocolo seguro (https).

Organizaciones rusas son cada vez más atacadas por las APT chinas.

El 22 de junio de 2022, CERT-UA publicó públicamente la Alerta n.° 4860 , que contiene una colección de documentos creados con el generador de documentos maliciosos Royal Road, relacionados con los intereses del gobierno ruso. SentinelLabs ha realizado un análisis más detallado de los hallazgos de CERT-UA y ha identificado actividad de amenazas chinas complementarias.

Los recientes objetivos de inteligencia de China contra Rusia se pueden observar en múltiples campañas posteriores a la invasión de Ucrania, como Scarab , Mustang Panda , y 'Space Pirates'. El análisis indica que esta es una campaña china separada, pero la atribución específica del actor no está clara en este momento.

Si bien la superposición de nombres de actores informados públicamente enturbia inevitablemente la imagen, queda claro que el aparato de inteligencia chino está apuntando a una amplia gama de organizaciones vinculadas a Rusia. Loss hallazgos actualmente ofrecen solo una imagen incompleta de la actividad de phishing de este grupo de amenazas, pero sirven para brindar una perspectiva de los objetivos operativos continuos de un atacante y un marco para nuestra investigación en curso.

Grupo chino APT abusa del error ProxyLogon

Un actor de amenazas pirateó los sistemas de automatización de edificios de varias organizaciones asiáticas al explotar la falla de Proxylogon en Microsoft Exchange. Después de poner una puerta trasera en sus redes, se observó que los atacantes obtenían acceso a áreas más seguras en las redes.

Los investigadores de Kaspersky detectaron que el grupo APT se centró en los dispositivos sin parches contra CVE-2021-26855 , o el popular Microsoft Exchange ProxyLogon . Por lo general, los sistemas de automatización de edificios son objetivos raros entre los grupos APT. Sin embargo, esos sistemas pueden tener información altamente confidencial y podrían propagarse para infectar otras áreas de la infraestructura, como los sistemas de seguridad de la información.

Los atacantes tienen muchas víctimas potenciales a las que apuntar, ya que el Instituto holandés para la divulgación de vulnerabilidades informó el año pasado alrededor de 46,000 servidores sin parches contra la falla de ProxyLogon.

Nuevo malware MetaStealer mantiene campañas activas en Chile.

MetaStealer ha sido Identificado por primera vez en marzo de 2022, sin embargo, no ha sido hasta finales del mes de mayo donde se han visto las primeras afectaciones en Chile.

No se conoce a ciencia cierta si se encuentra vinculado a otras operaciones, sin embargo, la aparición de este infostealer recae precisamente luego de que Racoon ha sido dado de baja, por lo que tal como se ha mencionado en diferentes fuentes de información, aparentemente estaría aprovechando este vacío que dejó Racoon en los mercados underground.

Este infostealer tiene características similares a sus pares, pero se autodenomina como una versión mejorada del conocido REDLINE ya que además de las clásicas sustracciones de credenciales de navegadores y servicios del sistema, es capaz de obtener acceso a billeteras de criptomonedas instaladas en el equipo o como extensión en navegadores, siendo este un mercado que se ha convertido en un nicho de ataque bastante lucrativo debido a su escasa regulación.

Investigadores advierten sobre nuevo malware OrBit Linux que secuestra el flujo de ejecución.

Investigadores de seguridad han revelado una nueva amenaza de Linux completamente no detectada denominada OrBit , que señala una tendencia creciente de ataques de malware dirigidos al popular sistema operativo.

El malware recibe su nombre de uno de los nombres de archivo que se utiliza para almacenar temporalmente la salida de los comandos ejecutados ("/tmp/.orbit"), según la empresa de ciberseguridad Intezer.

Se puede instalar con capacidades de persistencia o como un implante volátil, el malware implementa técnicas de evasión avanzadas y gana persistencia en la máquina al conectar funciones clave, brinda a los actores de amenazas capacidades de acceso remoto a través de SSH, recopila credenciales y registra comandos TTY.

OrBit es el cuarto malware de Linux que ha salido a la luz en un breve lapso de tres meses después de BPFDoor, Symbiote y Syslogk.

TrickBot cambió su enfoque para apuntar "sistemáticamente" a Ucrania.

En lo que se describe como un giro "sin precedentes", los operadores del malware TrickBot han recurrido a atacar sistemáticamente a Ucrania desde el inicio de la guerra a finales de febrero de 2022.

Se cree que el grupo orquestó al menos seis campañas de phishing dirigidas a objetivos que se alinean con los intereses del estado ruso, y los correos electrónicos actúan como señuelos para entregar software malicioso como IcedID, CobaltStrike, AnchorMail y Meterpreter.

Rastreada bajo los nombres ITG23, Gold Blackburn y Wizard Spider, el grupo de ciberdelincuencia con motivación financiera es conocida por su desarrollo del troyano bancario TrickBot y se incluyó en el cártel de ransomware Conti ahora descontinuado a principios de este año.

Expertos descubren 350 variantes de extensiones de navegador utilizadas en la campaña publicitaria ABCsoup.

Una extensión de navegador maliciosa con 350 variantes se hace pasar por un complemento de Google Translate como parte de una campaña de adware dirigida a los usuarios rusos de los navegadores Google Chrome, Opera y Mozilla Firefox.

La firma de seguridad móvil Zimperium denominó a la familia de malware ABCsoup, afirmando que "las extensiones se instalan en la máquina de la víctima a través de un ejecutable basado en Windows, sin pasar por la mayoría de las soluciones de seguridad de punto final, junto con los controles de seguridad que se encuentran en las tiendas de extensiones oficiales".

Los complementos falsos del navegador vienen con la misma ID de extensión que la de Google Translate — " aapbdbdomjkkjkaonfhkkikfgjllcleb " — en un intento de engañar a los usuarios haciéndoles creer que han instalado una extensión legítima.

Campaña con “quejas falsas de derechos de autor” impulsan el malware IcedID utilizando Yandex Forms.

Los propietarios de sitios web están siendo objeto de denuncias falsas de infracción de derechos de autor que utilizan Yandex Forms para distribuir el malware bancario IcedID.

Durante más de un año, los actores de amenazas rastreados como TA578 han estado realizando estos ataques en los que utilizan la página de contacto de un sitio web para enviar amenazas legales para convencer a los destinatarios de que descarguen un informe del material ofensivo.

Estos informes supuestamente contienen pruebas de ataques DDoS o material con derechos de autor utilizado sin permiso, pero en su lugar infectan el dispositivo de un objetivo con varios programas maliciosos, incluidos  BazarLoader ,  BumbleBee e  IcedID .

Twitter del Ejército del Reino Unido, cuentas de YouTube pirateadas para impulsar una estafa criptográfica.

Las cuentas de Twitter y YouTube del ejército británico fueron pirateadas y alteradas para promover estafas criptográficas en línea.

En particular, la cuenta verificada de Twitter del ejército comenzó a mostrar NFT falsos y esquemas falsos de sorteo de criptomonedas.

Se vio la cuenta de YouTube transmitiendo transmisiones en vivo de "Ark Invest" con un clip anterior de Elon Musk para engañar a los usuarios para que visiten sitios de estafa de criptomonedas.

Campañas de malware de devolución de llamadas se hacen pasar por empresas de ciberseguridad.

El 8 de julio de 2022, CrowdStrike Intelligence identificó una campaña de phishing de devolución de llamada que se hacía pasar por destacadas empresas de ciberseguridad, incluida CrowdStrike. El correo electrónico de phishing implica que la empresa del destinatario ha sido violada e insiste en que la víctima llame al número de teléfono incluido. Esta campaña aprovecha tácticas de ingeniería social similares a las empleadas en campañas de devolución de llamadas recientes, incluida la campaña BazarCall 2021 de WIZARD SPIDER.

Es muy probable que esta campaña incluya herramientas de administración remota (RAT) legítimas y comunes para el acceso inicial, herramientas de prueba de penetración listas para usar para el movimiento lateral y la implementación de ransomware o extorsión de datos.

Ataques a la cadena de suministro roban datos a través de paquetes NPM maliciosos.

Se ha detectado un ataque a la cadena de suministro de NPM utilizando docenas de módulos NPM maliciosos que contienen código JavaScript ofuscado. El objetivo es comprometer las aplicaciones de escritorio y los sitios web posteriores.

Un investigador de ReversingLabs descubrió que los atacantes detrás de una campaña (IconBurst) usaban typosquatting para infectar a los desarrolladores que buscaban paquetes populares, como ad ionic[.]io y los módulos NPM de umbrellajs.

Si son engañados por un esquema de nomenclatura de módulo similar, los desarrolladores agregarían paquetes maliciosos creados para robar datos de formularios incrustados (utilizados para iniciar sesión) en sus aplicaciones o sitios web.

Por ejemplo, uno de los paquetes NPM maliciosos utilizados (icon-package) tiene más de 17.000 descargas. Se crea para robar datos de formularios serializados a múltiples dominios controlados por atacantes.

Además, los investigadores han observado similitudes entre los dominios utilizados para filtrar información, lo que implica que los diferentes módulos utilizados en esta campaña están controlados por un solo actor de amenazas.

Surgen nuevos droppers notables en campañas de amenazas recientes.

Durante el segundo trimestre de 2022, FortiGuard Labs observó algunos droppers activos, incluidos archivos de Microsoft Excel, así como archivos de acceso directo de Windows y archivos de imágenes ISO. Estas muestras de correos electrónicos de phishing se combinaron con ingeniería social para engañar a las víctimas para que cargaran el malware en sus dispositivos. Recientemente, se encontraron familias de malware comunes que involucran estas muestras como Emotet, Qbot e Icedid. Además, también se encontró en algunos archivos ISO un malware llamado Bumblebee, un cargador de malware que rara vez se observaba anteriormente..

Rozena Backdoor es instalada al explotar el error de Follina.

Los investigadores de Fortinet FortiGuard Labs observaron una campaña de phishing que aprovecha la vulnerabilidad de seguridad Follina recientemente revelada ( CVE-2022-30190 , puntuación CVSS 7.8) para distribuir la puerta trasera Rozena en los sistemas Windows.

El problema de Follina es una vulnerabilidad de ejecución remota de código que reside en la herramienta de diagnóstico de soporte de Microsoft Windows (MSDT).

La puerta trasera de Rozena puede inyectar una conexión de shell remota a la máquina del atacante.

La cadena de ataque aprovecha un documento de Office armado que, una vez que se hace clic, comienza a conectarse a una URL CDN externa de Discord para descargar un archivo HTML ( index.htm ).

La campaña actual de Raspberry Robin aprovecha los dispositivos QNAP comprometidos.

Raspberry Robin  es un gusano de Windows descubierto por investigadores de ciberseguridad de Red Canary, el malware se propaga a través de dispositivos USB extraíbles.

El código malicioso usa Windows Installer para llegar a los dominios asociados con QNAP y descargar una DLL maliciosa. El malware utiliza nodos de salida TOR como infraestructura C2 de respaldo.

El malware se detectó por primera vez en septiembre de 2021, los expertos observaron que Raspberry Robin se dirigía a organizaciones en las industrias de tecnología y fabricación. El acceso inicial suele ser a través de unidades extraíbles infectadas, a menudo dispositivos USB.

Avisos de seguridad que afectan a productos Fortinet.

Fortinet ha publicado 11 nuevos avisos de seguridad que contemplan 11 vulnerabilidades, las cuales son clasificadas de acuerdo a siguiente detalle, 4 de severidad Alta,  6 de severidad Media y 1 de severidad Baja. Estas fallas de seguridad afectan a productos como FortiOS, FortiClientWindows, FortiProxy , FortiManager, entre otros.

Cisco publica nuevos avisos de seguridad para sus productos.

Cisco ha publicado 9 nuevos avisos de seguridad que contienen 10 vulnerabilidades, de las cuales 1 se clasifica como Crítica y 9 Medias. 

Microsoft corrige silenciosamente el error ShadowCoerce Windows NTLM Relay.

Microsoft ha confirmado que solucionó una vulnerabilidad 'ShadowCoerce' previamente revelada como parte de las actualizaciones de junio de 2022 que permitieron a los atacantes apuntar a los servidores de Windows en ataques de retransmisión NTLM.

Los actores de amenazas pueden utilizar este método de ataque de retransmisión NTLM para obligar a los servidores sin parches a autenticarse contra los servidores bajo el control del atacante, lo que lleva a la toma de control del dominio de Windows .

Aunque no se hizo ningún anuncio público con respecto a este problema, el "PoC de abuso de coerción de MS-FSRVP, también conocido como 'ShadowCoerce', se mitigó con CVE-2022-30154, que afectó al mismo componente".

Google lanza actualización para Chrome y corrige exploit de día cero explotado indiscriminadamente.

Google envió el lunes actualizaciones de seguridad para abordar una vulnerabilidad de día cero de alta gravedad en su navegador web Chrome que, según dijo, se está explotando de manera indiscriminada.

La deficiencia, rastreada como CVE-2022-2294 , se relaciona con una falla de desbordamiento de heap en el componente WebRTC que brinda capacidades de comunicación de audio y video en tiempo real en los navegadores sin la necesidad de instalar complementos o descargar aplicaciones nativas.

Los desbordamientos de búfer de heap, también conocidos como desbordamiento de heap o aplastamiento de heap, ocurren cuando los datos se sobrescriben en el área de heap de la memoria, lo que lleva a la ejecución de código arbitrario o a una condición de denegación de servicio (DoS).

OpenSSL lanza un parche para un error de alta gravedad que podría conducir a ataques RCE.

Los mantenedores del proyecto OpenSSL han lanzado parches para abordar un error de alta gravedad en la biblioteca criptográfica que podría conducir a la ejecución remota de código en ciertos escenarios.

El problema , que ahora tiene asignado el identificador CVE-2022-2274 , se ha descrito como un caso de corrupción de la memoria heap con la operación de clave privada RSA que se introdujo en la versión 3.0.4 de OpenSSL lanzada el 21 de junio de 2022.

Django corrige vulnerabilidad de inyección de SQL en nuevas versiones.

El proyecto Django, un marco web de código abierto basado en Python, ha reparado una vulnerabilidad de alta gravedad en sus últimas versiones.

Rastreada como CVE-2022-34265, la vulnerabilidad potencial de inyección de SQL existe en la rama principal de Django y en las versiones 4.1 (actualmente en versión beta), 4.0 y 3.2. Los nuevos lanzamientos y parches emitidos hoy eliminan la vulnerabilidad.

Decenas de miles de sitios web, incluidas algunas marcas populares solo en los EE. UU., eligen Django como su marco Modelo-Plantilla-Vista, según algunas estimaciones . Esta es la razón por la cual la necesidad de actualizar o parchear sus instancias de Django contra errores como estos es crucial.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 11 al 17 de julio de 2022:

Objetivos observados durante semana de análisis: 

• Banca y Finanzas
• Construcción e inmobiliaria
• Entretenimiento, cultura y arte
• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Retail y servicios de consumo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Servicios legales y profesionales
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes
• Infraestructura tecnológica - Componentes

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Retail y servicios de consumo
• Servicios empresariales y comercio
• Servicios legales y profesionales
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes
• Infraestructura tecnológica - Componentes

• Banca y Finanzas
• Organizaciones sin fines de lucro
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia

• Entretenimiento, cultura y arte

• Agricultura, ganadería, silvicultura y pesca - producción
• Defensa y orden público
• Educación
• Gobierno
• Petróleo
• Agricultura, ganadería, silvicultura y pesca - consumo

• Campaña TrickBot Group
• OrBit Backdoor
• Bitter APT
• Hive Ransomware variante RUST

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.