ENTEL Weekly Threat Intelligence Brief del 29 de Agosto al 04 de Septiembre de 2022

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Agenda es llamado el nuevo Ransomware basado en GO.
• Nueva variante de Ransomware BianLian Multiplataforma.
• El gigante petrolero italiano Eni sufre un ataque de Ransomware.
• Parlamento de Montenegro atacado por Cuba Ramsomware.
• APT40 vinculado a China usó ScanBox Framework, en una campaña de espionaje de larga duración que apuntan al sector energético en Australia y el mar de China Meridional.
• La brecha de seguridad de LastPass permite a los ciberdelincuentes robar el código fuente.
• Tres campañas que entregan múltiples programas maliciosos, incluidos ModernLoader y XMRig miner.
• La campaña de criptominería de Nitrokod infectó con malware a miles de máquinas en todo el mundo.
• Vulnerabilidad crítica en el Bitbucket de Atlassian.
• CISA agrega 10 nuevas vulnerabilidades conocidas explotadas activamente a su catálogo.

Agenda el nuevo Ransomware basado en GO

Según Trend Micro, éste nuevo ransomware tiene similitudes en el código fuente con las familias de Ransomware Black Basta, Black Matter y Revil (éste último también conocido como Sodinokibi). Lo que hace “Agenda” es reiniciar los sistemas en modo seguro para evadir la detección, lo que a su vez le permite detener varios procesos y servicios específicos del servidor, posibilitando así su ejecución en múltiples modos. Agenda, además, tiene la posibilidad de aprovechar las credenciales de la cuenta local para ejecutar el binario de ransomware, así como también la capacidad de infectar una red completa y sus controladores compartidos. El actor de amenaza para este ransomware es llamado Qilin. 

Nueva variante de Ransomware BianLian Multiplataforma

BianLian es una variante de ransomware de código abierto escrita en Go que ha ganado popularidad debido a su funcionalidad multiplataforma. Según los investigadores de Cyble, el malware se identificó por primera vez a mediados de julio y ya se conocen 25 organizaciones afectadas.

Este ransomware se ha utilizado en ataques contra organizaciones reconocidas que operan en BFSI (banca, servicios financieros y seguros), educación, atención médica, medios y entretenimiento, manufactura y otras esferas.

Hasta el momento BianLian ha centrado sus ataques principalmente a EE. UU., Australia y UK, además se registra un ataque a República Dominica detectado el día 30 de agosto, por lo que BianLian podría sumar nuevos objetivos en Latam.

El gigante petrolero italiano Eni sufre ataque de Ransomware

A principios de esta semana, la agencia de energía italiana Gestore dei Servizi Energetici SpA sufrió una brecha de seguridad el domingo por la noche y el lunes por la mañana, según un comunicado. Entre otras funciones, GSE es una de las agencias gubernamentales a cargo del funcionamiento del mercado eléctrico de Italia. Según investigaciones los sistemas y operaciones de GSE aún están bloqueados después del ataque. Los servidores se vieron comprometidos, los trabajadores no tienen acceso a correos electrónicos o datos internos y algunas funciones del mercado energético realizadas por GSE están suspendidas. De acuerdo con investigaciones se tiene que la empresa Eni aún sigue trabajando con las autoridades para evaluar el alcance y consecuencias del ataque, se desconoce el actor de amenaza o ransomware a la que se atribuye la operación, así mismo, las TTPs aplicadas.

Parlamento de Montenegro atacado por CubaRamsomware

El ministro de Administración Pública de Montenegro, Maras Dukaj, dijo a la televisión estatal que piratas informáticos habían creado un virus especial para el ataque llamado Zerodate, informa Reuters. Dukaj afirma que 150 estaciones de trabajo en 10 instituciones estatales fueron infectadas debido a un ciberataque contra miembros de la OTAN.

Los sitios de Internet del gobierno han estado cerrados desde el ataque, que la Agencia de Seguridad Nacional de Montenegro (ANB) vinculó con Rusia, aunque no está claro el alcance del robo de datos. Las autoridades locales atribuyeron el ataque al grupo de ransomware Cuba.

APT40 vinculado a China usó ScanBox Framework en una campaña de espionaje de larga duración que apuntan al sector energético en Australia y el mar de China Meridional [APT]

El actor de amenazas alineado con el estado chino TA423 (también conocido como Leviatán/APT40) está detrás de una campaña sostenida de ciberespionaje contra países y entidades que operan en el Mar de China Meridional, incluidas las organizaciones involucradas en un parque eólico marino en el Estrecho de Taiwán.

Las campañas más recientes del actor de amenazas utilizaron correos electrónicos maliciosos que se hacían pasar por organizaciones de medios australianas, incluido el falso Australian Morning News, para entregar el malware ScanBox para el reconocimiento, según un informe redactado por la firma de seguridad cibernética Proofpoint, en colaboración con PwC.

Los investigadores también observaron actividad de phishing dirigida a agencias gubernamentales, empresas de medios de comunicación y operadores de turbinas eólicas del mar de China Meridional.

Brecha de seguridad de LastPass permite a los ciberdelincuentes robar el código fuente

El servicio de administración de contraseñas LastPass confirmó un incidente de seguridad que resultó en el robo de parte de su código fuente e información técnica potentada.

LastPass es una de las mayores empresas de gestión de contraseñas del mundo y afirma ser utilizada por más de 33 millones de personas y 100.000 empresas. Dado que los consumidores y las empresas utilizan el software de la empresa para almacenar sus contraseñas de forma segura, siempre existe la preocupación de que, si la empresa fuera pirateada, podría permitir que los actores de amenazas accedan a las contraseñas almacenadas. Sin embargo, LastPass almacena las contraseñas en "bóvedas cifradas" que solo se pueden descifrar con la contraseña maestra de un cliente, que según LastPass no se vio comprometida en este ciberataque.

LastPass no ha proporcionado más detalles sobre el ataque, cómo los actores de amenazas comprometieron la cuenta del desarrollador y qué código fuente fue robado.

Tres campañas que entregan múltiples programas maliciosos, incluidos ModernLoader y XMRig miner

Los investigadores de Cisco Talos observaron tres campañas separadas, pero relacionadas, entre marzo y junio de 2022 que entregaban múltiples malware, incluido el bot ModernLoader (también conocido como bot Avatar), el ladrón de información RedLine y los mineros de criptomonedas a las víctimas. ModernLoader es un troyano de acceso remoto .NET que admite múltiples funciones, incluida la capacidad de recopilar información del sistema, ejecutar comandos arbitrarios o descargar y ejecutar un archivo desde el servidor C2. Los actores de amenazas usan PowerShell, ensamblajes .NET y archivos HTA y VBS para realizar movimientos laterales a través de una red objetivo y, finalmente, soltar otras piezas de malware, como el troyano SystemBC y DCRAT. El uso que hacen los atacantes de una variedad de herramientas estándar hace que sea difícil atribuir esta actividad a un adversario específico.

La cadena de ataque comienza con un archivo de aplicación HTML (HTA) que ejecuta un script de PowerShell alojado en el servidor C2 que ejecuta la siguiente etapa del proceso de carga.

El cargador contiene código incrustado de tres módulos, que se cargan mediante reflexión como ensamblados .NET adicionales en el espacio de proceso de PowerShell. El código de PowerShell descargado también descarga y ejecuta módulos auxiliares y cargas útiles”. El análisis publicado por Cisco Talos. “Por lo general, hay tres módulos en este formato de cargador. El primero deshabilita la funcionalidad de escaneo AMSI, el segundo es la carga útil final y el último inyecta la carga útil en el espacio de proceso de un proceso recién creado, generalmente RegSvcs.exe.

La carga útil final parece ser un troyano de acceso remoto (RAT) ModernLoader y el minero XMRig. Talos informó que las campañas de marzo se dirigieron a usuarios de Europa del Este, incluidos Bulgaria, Polonia, Hungría y Rusia.

La campaña de cripto minería de Nitrokod infectó con malware a miles de máquinas en todo el mundo

Una entidad de habla turca llamada Nitrokod ha sido atribuida a una campaña activa de minería de criptomonedas que implica hacerse pasar por una aplicación de escritorio para Google Translate para infectar a más de 111,000 víctimas en 11 países desde 2019.

La lista de países con víctimas incluye Reino Unido, Estados Unidos, Sri Lanka, Grecia, Israel, Alemania, Turquía, Chipre, Australia, Mongolia y Polonia.

La campaña implica servir malware a través de software gratuito alojado en sitios populares como Softpedia y Uptodown. Pero en una táctica interesante, el malware pospone su ejecución durante semanas y separa su actividad maliciosa del software falso descargado para evitar la detección. A la instalación del programa infectado le sigue la implementación de un ejecutable de actualización en el disco que, a su vez, inicia una secuencia de ataque de cuatro etapas, con cada cuentagotas pavimentando para la siguiente, hasta que el malware real se elimina en la séptima etapa.

Tras la ejecución del malware, se establece una conexión a un servidor remoto de comando y control (C2) para recuperar un archivo de configuración para iniciar la actividad de extracción de monedas.

Un aspecto notable de la campaña de Nitrokod es que el software falso que se ofrece de forma gratuita es para servicios que no tienen una versión de escritorio oficial, como Yandex Translate, Microsoft Translate, YouTube Music, MP3 Download Manager y Pc Auto Shutdown.

Además, el malware se elimina casi un mes después de la infección inicial, cuando se elimina el rastro forense, lo que dificulta descifrar el ataque y rastrearlo hasta el instalador.

Vulnerabilidad crítica en el Bitbucket de Atlassian

La empresa de software con sede en Australia, Atlassian, ha publicado un aviso de seguridad que menciona una vulnerabilidad crítica que afecta a Bitbucket Server y Data Center.

Bitbucket es un servicio de alojamiento basado en web, para proyectos que utilizan el sistema de control de versiones Mercurial y Git. Sirve para compartir datos, implementar y crear código de forma colaborativa, así como también para automatizar pruebas. Tiene una versión ideal para soluciones corporativas que está alojada en servidores agrupados (Bitbucket Data Center), los que permiten un  rendimiento escalable, duplicaciones inteligentes y alta disponibilidad. 

CVE-2022-36804 [CVSS: 9.9] Vulnerabilidad de inyección de comandos a través de solicitudes HTTP maliciosas.

CISA agrega 10 nuevas vulnerabilidades conocidas explotadas activamente a su catálogo

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes 10 nuevas vulnerabilidades explotadas activamente a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) , incluida una falla de seguridad de alta gravedad que afecta el software de automatización industrial de Delta Electronics.

El problema, rastreado como CVE-2021-38406 (puntaje CVSS: 7.8), afecta las versiones 2.00.07 y anteriores de DOPSoft 2. Una explotación exitosa de la falla puede conducir a la ejecución de código arbitrario.

"Delta Electronics DOPSoft 2 carece de la validación adecuada de los datos proporcionados por el usuario al analizar archivos de proyectos específicos (validación de entrada incorrecta), lo que resulta en una escritura fuera de los límites que permite la ejecución del código

Entre otros defectos explotados activamente agregados a la lista están los siguientes:

1. CVE-2022-26352: Vulnerabilidad de carga de archivos sin restricciones de dotCMS.
2. CVE-2022-24706: vulnerabilidad de inicialización predeterminada insegura de recursos de Apache CouchDB.
3. CVE-2022-24112: vulnerabilidad de omisión de autenticación APISIX de Apache.
4. CVE-2022-22963: Vulnerabilidad de ejecución remota de código de la función Spring Cloud de VMware Tanzu.
5. CVE-2022-2294: vulnerabilidad de desbordamiento del búfer de pila de WebRTC.
6. CVE-2021-39226: vulnerabilidad de omisión de autenticación de Grafana.
7. CVE-2020-36193: Vulnerabilidad de resolución de enlace inadecuado de PEAR Archive_Tar.
8. CVE-2020-28949: PEAR Archive_Tar Deserialización de vulnerabilidad de datos no confiables.

Falla de seguridad en Chrome permite sustituir el contenido del portapapeles sin previa autorización

La falla de seguridad permite sustituir los datos que se tienen en el portapapeles sin obtener previamente los permisos del usuario y sin que este se dé cuenta. Por ejemplo, un sitio malicioso especialmente diseñado podría atraer a un usuario a entrar a dicha página y “tomar” el contenido que este tenga en su portapapeles (contraseñas, credenciales bancarias, etc) y cambiarlo por un texto o contenido que ellos decidan.

El investigador Jeff, en su blog, facilitó un sitio web que prueba si tu navegador es vulnerable a esta falla. Solo debes entrar al sitio web “Webplatform News” y verificar el contenido del portapapeles, si tu navegador es vulnerable, en tu portapapeles se encontrará el siguiente texto: 

“Hola, este mensaje está en su portapapeles porque visitó el sitio web Web Platform News en un navegador que permite que los sitios web escriban en el portapapeles sin el permiso del usuario. Lo siento por los inconvenientes ocasionados. Para obtener más información sobre este problema, consulte https://github.com/w3c/clipboard-apis/issues/182”.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 29 Agosto al 04 de septiembre de 2022:

Objetivos observados durante semana de análisis: 

• Gobierno
• Infraestructura tecnológica
• Petróleo
• Energía
• Banca y Finanzas
• Seguros
• Retail y servicios de consumo
• Tecnología

• Banca y Finanzas
• Energía
• Infraestructura tecnológica
• Energía
• Petróleo

• Educación

• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios de salud, sociales y farmacia.
• Servicios legales y profesionales

• Agua
• Construcción e inmobiliaria
• Entretenimiento, cultura y arte
• Industrias manufactureras, materiales y minería
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
• Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
• Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
• Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
• Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
• Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
• Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.
•