ENTEL Weekly Threat Intelligence Brief del 22 al 28 de Agosto de 2022

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe, es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Ransomware Ragnar Locker tras ataque a la empresa de Gas de Grecia DESFA.
• Ransomware Lockbit se adjudica ataque a Entrust.
• Ciberataque Paraliza Los Servidores Informáticos Del Centro De Datos Del Instituto Agrario Dominicano.
• Nuevas TTP´s del Grupo APT Ruso para comprometer cuentas de Microsoft 365.
• El Grupo APT Iranì Charming Kitten logra obtener correos electrónicos de distintos servidores con una nueva herramienta.
• Nuevo malware identificado como  NetSupport RAT ataca sitios creados en WordPress.
• Se encuentran Nuevas vulnerabilidades que afectan a productos Cisco.
• Nueva vulnerabilidad afecta a productos VMware.
• Se da a conocer Actualización de vulnerabilidades en Zimbra.

Ransomware Ragnar Locker tras ataque a la empresa de Gas de Grecia

El lunes 22 de agosto se dio a conocer la noticia del ataque que sufrió esta organización, respecto a una filtración de datos limitados y una interrupción de su sistema de TI. Según la revisión de distintas fuentes de forma proactiva, se tiene que el ataque está asociado al grupo de Ransomware Ragnar Locker, de acuerdo con su sitio oficial tienen dos publicaciones respecto a data filtrada de la mencionada empresa, haciendo la sustracción de un total de 361 GB de información sensible de la compañía.

Ransomware Lockbit se adjudica ataque a Entrust

Lockbit se encuentra en la tercera versión de su Ransomware, en donde gradualmente han perfeccionado sus operaciones, incluso levantando programas de Bug Bounty para el testeo de su infraestructura, sentando precedentes para el grado de organización y desarrollo de este tipo de operaciones, ya que corresponderia a una de las agrupaciones que ha permanecido activa por un largo periodo de tiempo, mientras que a la vez continúa con un alto volumen de ataques mensuales, lo que por largo tiempo mantuvo cierta competencia con actores de ransomware CONTI (actualmente Offline), que corresponde al grupo con el récord de mayor cantidad de víctimas históricas hasta el momento.

Una vez accediendo al sitio web de LockBit es posible filtrar por la compañía Entrust entre todos los dataleaks disponibles, desplegando así un directorio que contiene toda la información sustraída, sin embargo, de acuerdo a las propias declaraciones de grupo de actores, es que se planea disponer de un Link de Torrent para facilitar el acceso a la información por terceros.

Ciberataque Paraliza los servidores informáticos del Centro De Datos Del Instituto Agrario Dominicano.
El Instituto Agrario de República Dominicana sufrió un ataque de ransomware Quantum que cifró múltiples servicios y estaciones de trabajo en toda la agencia gubernamental.
Los actores de amenazas afirmaron haber robado más de 1 TB de datos y amenazaron con liberarlos si IAD no pagaba un rescate públicamente.
El Centro Nacional de Ciberseguridad (CNCS), que ha estado ayudando a la agencia a recuperarse del ataque, dice que las direcciones IP de los atacantes eran de EE. UU. y Rusia.
 

Sitio Web del Sernac de baja por ciberataque. 

Según información expuesta públicamente por el Servicio Nacional del Consumidor (Sernac). El jueves 25 de octubre fue víctima de una vulneración a sus sistemas informáticos que mantiene caído su portal de atención a los consumidores. De acuerdo a información del Csirt el ransomware ocupado para la afectación del servicio,  utilizará el algoritmo de cifrado de clave pública NTRUEncrypt, dirigido a archivos de registro (.log), archivos ejecutables (.exe), archivos de bibliotecas dinámicas (.dll), archivos de intercambio (.vswp), discos virtuales (.vmdk), archivos de instantáneas (.vmsn) y archivos de memoria (.vmem) de máquinas virtuales, entre otros.

El ransomware en cuestión tiene la capacidad de detener todas las máquinas virtuales en ejecución y cifrar archivos relacionados con las máquinas virtuales, posterior al ataque los archivos asumen la extensión “.crypt”.

Nuevas TTP´s del Grupo APT Ruso para comprometer cuentas de Microsoft 365
Los investigadores de Mandiant descubrieron que APT29 ha estado trabajando para desactivar la función Purview Audit disponible para los usuarios de Microsoft 365 con la licencia E5 en un esfuerzo por evitar auditorías de cuentas comprometidas. Este grupo también ha estado explotando el proceso de autoinscripción de Azure Active Directory para la autenticación de múltiples factores, lo que ha permitido ataques de fuerza bruta en nombres de usuario y contraseñas de cuentas que no estaban registradas en el dominio, según los investigadores.
 

El Grupo APT Iranì Charming Kitten logra obtener correos electrónicos de distintos servidores con una nueva herramienta.

La herramienta se ejecuta en la computadora del atacante para descargar la bandeja de entrada de la víctima luego de iniciar sesión en la cuenta utilizando las credenciales adquiridas previamente. La herramienta es conocida como Hyperscrape y lo que hace es falsificar un agente de usuario para que parezca un navegador obsoleto, lo que permite la vista HTML básica en Gmail.

Grupo APT  Kimsufi apoyado por Corea del Norte inicia nuevos ataques con cluster GoldDragon.

En su nuevo ataque, el actor inició la cadena de infección enviando un correo electrónico de spear-phishing que contenía un documento de Word incrustado en una macro. Los investigadores descubrieron varios ejemplos de diferentes documentos de Word, cada uno mostrando diferentes contenidos de señuelo relacionados con cuestiones geopolíticas en la península de Corea. El actor aprovecha el formato de archivo de la aplicación HTML para infectar a la víctima y ocasionalmente usó el documento señuelo Hangeul.
Después de la infección inicial, se entregó a la víctima un script de Visual Basic. En este proceso, el actor abusó de un servicio de blog legítimo para alojar un script malicioso con un formato codificado. El archivo VBS implantado es capaz de reportar información sobre máquinas infectadas y descargar cargas útiles adicionales con un formato codificado. La etapa final es un malware de tipo ejecutable de Windows que es capaz de robar información de la víctima, como listas de archivos, pulsaciones de teclas del usuario y credenciales de inicio de sesión del navegador web almacenadas.
De acuerdo a los documentos que se muestran, los investigadores indican que los objetivos de esta operación son personas o entidades relacionadas con actividades políticas o diplomáticas. Además, históricamente, políticos, diplomáticos, periodistas, profesores y desertores norcoreanos han sido los principales objetivos del grupo Kimsuky. Según los nombres de las direcciones de correo electrónico de los scripts C2, podemos consolidar aún más esta hipótesis. Los scripts C2 solo tienen direcciones de correo electrónico parciales, por lo que tratamos de extrapolar la dirección de correo electrónico completa y el propietario real dentro de las esferas diplomáticas y académicas.

Malware Escanor RAT implementado a través de Microsoft Office y documentos PDF

Los investigadores de seguridad de Resecurity descubrieron el malware durante el fin de semana y lo denominaron Escanor en un aviso publicado el domingo 21 de agosto de 2022. Su objetivo es  implantar un HVNC (Hidden Virtual Network Computing) compacto que permite configurar una conexión remota silenciosa a la computadora de la víctima, y ​​luego se transformó en una RAT comercial a gran escala con un rico conjunto de funciones. Escanor ha construido una reputación creíble en Dark Web y atrajo a más de 28,000 suscriptores en el canal de Telegram. En el pasado, el actor con exactamente el mismo apodo lanzó versiones 'crackeadas' de otras herramientas de la Dark Web, incluidas Venom RAT, 888 RAT y Pandora HVNC, que probablemente se usaron para enriquecer aún más la funcionalidad de Escanor.

Los ciberdelincuentes utilizan activamente la versión móvil de Escanor (también conocida como "Esca RAT") para atacar a los clientes de banca en línea mediante la interceptación de códigos OTP. La herramienta se puede utilizar para recopilar las coordenadas GPS de la víctima, monitorear las pulsaciones de teclas, activar cámaras ocultas y buscar archivos en los dispositivos móviles remotos para robar datos.

La mayoría de las víctimas de éste malware se orientan a países como EE. UU., Canadá, Emiratos Árabes Unidos, Arabia Saudita, Kuwait, Bahréin, Egipto, Israel, México y Singapur, con algunas infecciones detectadas en el sudeste asiático.

Hackers de Irán emplean nuevo malware de secuestro de DNS en los últimos ataques cibernéticos.

El atacante malicioso patrocinado por el estado iraní conocido como Lyceum ha pasado a implementar una nueva puerta trasera personalizada basada en .NET en las últimas campañas dirigidas a Oriente Medio. Los investigadores de Zscaler ThreatLabz, Avinash Kumar y Niraj Shivtarkar , dijeron que el nuevo malware es un DNS Backdoor basado en .NET, una versión modificada de la utilidad de código abierto 'DIG.net'. 

"El malware aprovecha una técnica de ataque de DNS llamada 'secuestro de DNS' en la que un servidor de DNS controlado por el atacante manipula la respuesta de las consultas de DNS y las resuelve según sus requisitos maliciosos". 

El secuestro de DNS es un ataque de redirección en el que las solicitudes de DNS de dominios legítimos se interceptan y se utilizan para redirigir a un usuario desprevenido a páginas falsas controladas por un adversario. El secuestro de DNS, a diferencia del envenenamiento de caché, ataca el registro DNS del sitio web en el servidor de nombres en lugar del caché del resolutor. 

Lyceum, también conocido como Hexane, Spirlin o Siamesekitten, es muy conocido en Oriente Medio y África por sus ciberataques. ESET, una empresa de ciberseguridad eslovaca, vinculó sus operaciones a otro actor de amenazas conocido como OilRig (APT34) a principios de este año

Vulnerabilidad de Android falsificados permiten back door para acceder a informaciòn confidencial desde WhatsApp 

El malware, que el equipo de Doctor Web descubrió por primera vez en julio de 2022, se encontró en al menos cuatro teléfonos inteligentes diferentes: 'P48pro', 'radmi note 8', 'Note30u' y 'Mate40' . Las nuevas aplicaciones maliciosas podrían ser miembros de la familia de troyanos Android.FakeUpdates , a menudo utilizada por actores maliciosos para infiltrarse en varios componentes del sistema, incluido el software de actualización de firmware, la aplicación de configuración predeterminada o el componente responsable de la gráfica del sistema. interfaz. 

Según investigadores de seguridad, los troyanos apuntan a la ejecución de código arbitrario en las aplicaciones de mensajería WhatsApp y WhatsApp Business y podrían usarse potencialmente en diferentes escenarios de ataque.

Falla de Palo Alto Networks utilizada en el ataque DDoS

Una mala configuración de la política de filtrado de URL de PAN-OS podría permitir que un atacante basado en la red realice ataques de denegación de servicio (RDoS) TCP reflejados y amplificados. El ataque DoS parece originarse en un cortafuegos PA-Series (hardware), VM-Series (virtual) y CN-Series (contenedor) de Palo Alto Networks contra un objetivo especificado por el atacante. Para que un atacante externo la utilice indebidamente, la configuración del cortafuegos debe tener un perfil de filtrado de URL con una o más categorías bloqueadas asignadas a una zona de origen que tenga una interfaz externa. Esta configuración no es típica para el filtrado de URL y, si se establece, es probable que no sea la intención del administrador. Si se explota, este problema no afectaría la confidencialidad, integridad o disponibilidad de nuestros productos. Sin embargo, el ataque de denegación de servicio (DoS) resultante puede ayudar a ofuscar la identidad del atacante e implicar al firewall como la fuente del ataque

Productos Afectados:

• PAN-OS 10.2 < 10.2.2-h2
• PAN-OS 10.1 < 10.1.6-h6
• PAN-OS 10.0 < 10.0.11-h1
• PAN-OS 9.1 < 9.1.14-h4
• PAN-OS 9.0 < 9.0.16-h3
• PAN-OS 8.1 < 8.1.23-h1

Se encuentran Nuevas vulnerabilidades que afectan a productos Cisco

Cisco ha publicado 4 nuevos avisos de seguridad que contienen 4 vulnerabilidades. De estas: 3 son de Severidad Alta y 1 de Severidad Media.

• CVE-2022-20921 [CVSS v3.1: 8.8] Cisco ACI Multi-Site Orchestrator Privilege Escalation Vulnerability
• CVE-2022-20824  [CVSS v3.1: 8.8] Cisco FXOS and NX-OS Software Cisco Discovery Protocol Denial of Service and Arbitrary Code Execution Vulnerability
• CVE-2022-20823 [CVSS v3.1: 8.6]
• Cisco NX-OS Software OSPFv3 Denial of Service Vulnerability
• CVE-2022-20865 [CVSS v3.1: 6.7]
• Cisco FXOS Software Command Injection Vulnerability

Nueva vulnerabilidad afecta a productos VMware

VMWare ha publicado 1 nuevo aviso de seguridad que incluye 1 vulnerabilidad, la cual se clasifica como Severidad Alta.

• CVE-2022-31676 [CVSS v3: 7.0]
• Vulnerabilidad de escalada de privilegios locales

Se da a conocer Actualización de vulnerabilidades en Zimbra

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA)  en conjunto con el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) actualizaron la alerta con respecto a la explotación de vulnerabilidades que afectan a Zimbra. 

En esta nueva actualización se agregaron nuevos CVE´s conocidos por ser utilizados para explotar vulnerabilidades en Zimbra, estos son:

• CVE-2022-24682 
• CVE-2022-27924 
• CVE-2022-27925 en relación con CVE-2022-37042 
• CVE-2022-30333

Nuevo aviso de Seguridad de afecta a complementos de Jenkins

El servidor Jenkins, publicó un aviso de seguridad que contiene 4 vulnerabilidades que se distribuyen en: 2 de severidad Alta , 1  de severidad Media y 1  de severidad Baja.

Este anuncio menciona vulnerabilidades de Jenkis que afecta a varios de sus complementos:

• CollabNet
• Git
• El Plugin de historial de configuración del trabajo
• Kubernetes

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 29 de agosto al 04 de septiembre de 2022:

Objetivos observados durante semana de análisis: 

• Educación
• Gas
• Gobierno
• Agricultrura
• Infraestructura tecnológica
• Petróleo
• Banca y Finanzas
• Retail y servicios de consumo

• Educación
• Gas
• Gobierno
• Agricultura
• Infraestructura tecnológica
• Petróleo

• Educación

• Defensa y orden público
• Gas
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios de salud, sociales y farmacia.
• Servicios legales y profesionales

• Agua
• Construcción e inmobiliaria
• Entretenimiento, cultura y arte
• Industrias manufactureras, materiales y minería
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes

• Quantum Ramsomware (Hash, Ip´s)
• Lockbit (Hash, Ip´s)
• Ragnar Locker 
• Charming Kitten

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
• Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
• Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
• Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
• Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
• Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
• Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.