El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
Agenda el nuevo Ransomware basado en GO
Según Trend Micro, éste nuevo ransomware tiene similitudes en el código fuente con las familias de Ransomware Black Basta, Black Matter y Revil (éste último también conocido como Sodinokibi). Lo que hace “Agenda” es reiniciar los sistemas en modo seguro para evadir la detección, lo que a su vez le permite detener varios procesos y servicios específicos del servidor, posibilitando así su ejecución en múltiples modos. Agenda, además, tiene la posibilidad de aprovechar las credenciales de la cuenta local para ejecutar el binario de ransomware, así como también la capacidad de infectar una red completa y sus controladores compartidos. El actor de amenaza para este ransomware es llamado Qilin.
Nueva variante de Ransomware BianLian Multiplataforma
BianLian es una variante de ransomware de código abierto escrita en Go que ha ganado popularidad debido a su funcionalidad multiplataforma. Según los investigadores de Cyble, el malware se identificó por primera vez a mediados de julio y ya se conocen 25 organizaciones afectadas.
Este ransomware se ha utilizado en ataques contra organizaciones reconocidas que operan en BFSI (banca, servicios financieros y seguros), educación, atención médica, medios y entretenimiento, manufactura y otras esferas.
Hasta el momento BianLian ha centrado sus ataques principalmente a EE. UU., Australia y UK, además se registra un ataque a República Dominica detectado el día 30 de agosto, por lo que BianLian podría sumar nuevos objetivos en Latam.
El gigante petrolero italiano Eni sufre ataque de Ransomware
A principios de esta semana, la agencia de energía italiana Gestore dei Servizi Energetici SpA sufrió una brecha de seguridad el domingo por la noche y el lunes por la mañana, según un comunicado. Entre otras funciones, GSE es una de las agencias gubernamentales a cargo del funcionamiento del mercado eléctrico de Italia. Según investigaciones los sistemas y operaciones de GSE aún están bloqueados después del ataque. Los servidores se vieron comprometidos, los trabajadores no tienen acceso a correos electrónicos o datos internos y algunas funciones del mercado energético realizadas por GSE están suspendidas. De acuerdo con investigaciones se tiene que la empresa Eni aún sigue trabajando con las autoridades para evaluar el alcance y consecuencias del ataque, se desconoce el actor de amenaza o ransomware a la que se atribuye la operación, así mismo, las TTPs aplicadas.
Parlamento de Montenegro atacado por CubaRamsomware
El ministro de Administración Pública de Montenegro, Maras Dukaj, dijo a la televisión estatal que piratas informáticos habían creado un virus especial para el ataque llamado Zerodate, informa Reuters. Dukaj afirma que 150 estaciones de trabajo en 10 instituciones estatales fueron infectadas debido a un ciberataque contra miembros de la OTAN.
Los sitios de Internet del gobierno han estado cerrados desde el ataque, que la Agencia de Seguridad Nacional de Montenegro (ANB) vinculó con Rusia, aunque no está claro el alcance del robo de datos. Las autoridades locales atribuyeron el ataque al grupo de ransomware Cuba.
APT40 vinculado a China usó ScanBox Framework en una campaña de espionaje de larga duración que apuntan al sector energético en Australia y el mar de China Meridional [APT]
El actor de amenazas alineado con el estado chino TA423 (también conocido como Leviatán/APT40) está detrás de una campaña sostenida de ciberespionaje contra países y entidades que operan en el Mar de China Meridional, incluidas las organizaciones involucradas en un parque eólico marino en el Estrecho de Taiwán.
Las campañas más recientes del actor de amenazas utilizaron correos electrónicos maliciosos que se hacían pasar por organizaciones de medios australianas, incluido el falso Australian Morning News, para entregar el malware ScanBox para el reconocimiento, según un informe redactado por la firma de seguridad cibernética Proofpoint, en colaboración con PwC.
Los investigadores también observaron actividad de phishing dirigida a agencias gubernamentales, empresas de medios de comunicación y operadores de turbinas eólicas del mar de China Meridional.
Brecha de seguridad de LastPass permite a los ciberdelincuentes robar el código fuente
El servicio de administración de contraseñas LastPass confirmó un incidente de seguridad que resultó en el robo de parte de su código fuente e información técnica potentada.
LastPass es una de las mayores empresas de gestión de contraseñas del mundo y afirma ser utilizada por más de 33 millones de personas y 100.000 empresas. Dado que los consumidores y las empresas utilizan el software de la empresa para almacenar sus contraseñas de forma segura, siempre existe la preocupación de que, si la empresa fuera pirateada, podría permitir que los actores de amenazas accedan a las contraseñas almacenadas. Sin embargo, LastPass almacena las contraseñas en "bóvedas cifradas" que solo se pueden descifrar con la contraseña maestra de un cliente, que según LastPass no se vio comprometida en este ciberataque.
LastPass no ha proporcionado más detalles sobre el ataque, cómo los actores de amenazas comprometieron la cuenta del desarrollador y qué código fuente fue robado.
Tres campañas que entregan múltiples programas maliciosos, incluidos ModernLoader y XMRig miner
Los investigadores de Cisco Talos observaron tres campañas separadas, pero relacionadas, entre marzo y junio de 2022 que entregaban múltiples malware, incluido el bot ModernLoader (también conocido como bot Avatar), el ladrón de información RedLine y los mineros de criptomonedas a las víctimas. ModernLoader es un troyano de acceso remoto .NET que admite múltiples funciones, incluida la capacidad de recopilar información del sistema, ejecutar comandos arbitrarios o descargar y ejecutar un archivo desde el servidor C2. Los actores de amenazas usan PowerShell, ensamblajes .NET y archivos HTA y VBS para realizar movimientos laterales a través de una red objetivo y, finalmente, soltar otras piezas de malware, como el troyano SystemBC y DCRAT. El uso que hacen los atacantes de una variedad de herramientas estándar hace que sea difícil atribuir esta actividad a un adversario específico.
La cadena de ataque comienza con un archivo de aplicación HTML (HTA) que ejecuta un script de PowerShell alojado en el servidor C2 que ejecuta la siguiente etapa del proceso de carga.
El cargador contiene código incrustado de tres módulos, que se cargan mediante reflexión como ensamblados .NET adicionales en el espacio de proceso de PowerShell. El código de PowerShell descargado también descarga y ejecuta módulos auxiliares y cargas útiles”. El análisis publicado por Cisco Talos. “Por lo general, hay tres módulos en este formato de cargador. El primero deshabilita la funcionalidad de escaneo AMSI, el segundo es la carga útil final y el último inyecta la carga útil en el espacio de proceso de un proceso recién creado, generalmente RegSvcs.exe.
La carga útil final parece ser un troyano de acceso remoto (RAT) ModernLoader y el minero XMRig. Talos informó que las campañas de marzo se dirigieron a usuarios de Europa del Este, incluidos Bulgaria, Polonia, Hungría y Rusia.
La campaña de cripto minería de Nitrokod infectó con malware a miles de máquinas en todo el mundo
Una entidad de habla turca llamada Nitrokod ha sido atribuida a una campaña activa de minería de criptomonedas que implica hacerse pasar por una aplicación de escritorio para Google Translate para infectar a más de 111,000 víctimas en 11 países desde 2019.
La lista de países con víctimas incluye Reino Unido, Estados Unidos, Sri Lanka, Grecia, Israel, Alemania, Turquía, Chipre, Australia, Mongolia y Polonia.
La campaña implica servir malware a través de software gratuito alojado en sitios populares como Softpedia y Uptodown. Pero en una táctica interesante, el malware pospone su ejecución durante semanas y separa su actividad maliciosa del software falso descargado para evitar la detección. A la instalación del programa infectado le sigue la implementación de un ejecutable de actualización en el disco que, a su vez, inicia una secuencia de ataque de cuatro etapas, con cada cuentagotas pavimentando para la siguiente, hasta que el malware real se elimina en la séptima etapa.
Tras la ejecución del malware, se establece una conexión a un servidor remoto de comando y control (C2) para recuperar un archivo de configuración para iniciar la actividad de extracción de monedas.
Un aspecto notable de la campaña de Nitrokod es que el software falso que se ofrece de forma gratuita es para servicios que no tienen una versión de escritorio oficial, como Yandex Translate, Microsoft Translate, YouTube Music, MP3 Download Manager y Pc Auto Shutdown.
Además, el malware se elimina casi un mes después de la infección inicial, cuando se elimina el rastro forense, lo que dificulta descifrar el ataque y rastrearlo hasta el instalador.
Vulnerabilidad crítica en el Bitbucket de Atlassian
La empresa de software con sede en Australia, Atlassian, ha publicado un aviso de seguridad que menciona una vulnerabilidad crítica que afecta a Bitbucket Server y Data Center.
Bitbucket es un servicio de alojamiento basado en web, para proyectos que utilizan el sistema de control de versiones Mercurial y Git. Sirve para compartir datos, implementar y crear código de forma colaborativa, así como también para automatizar pruebas. Tiene una versión ideal para soluciones corporativas que está alojada en servidores agrupados (Bitbucket Data Center), los que permiten un rendimiento escalable, duplicaciones inteligentes y alta disponibilidad.
CVE-2022-36804 [CVSS: 9.9] Vulnerabilidad de inyección de comandos a través de solicitudes HTTP maliciosas.
CISA agrega 10 nuevas vulnerabilidades conocidas explotadas activamente a su catálogo
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes 10 nuevas vulnerabilidades explotadas activamente a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) , incluida una falla de seguridad de alta gravedad que afecta el software de automatización industrial de Delta Electronics.
El problema, rastreado como CVE-2021-38406 (puntaje CVSS: 7.8), afecta las versiones 2.00.07 y anteriores de DOPSoft 2. Una explotación exitosa de la falla puede conducir a la ejecución de código arbitrario.
"Delta Electronics DOPSoft 2 carece de la validación adecuada de los datos proporcionados por el usuario al analizar archivos de proyectos específicos (validación de entrada incorrecta), lo que resulta en una escritura fuera de los límites que permite la ejecución del código
Entre otros defectos explotados activamente agregados a la lista están los siguientes:
Falla de seguridad en Chrome permite sustituir el contenido del portapapeles sin previa autorización
La falla de seguridad permite sustituir los datos que se tienen en el portapapeles sin obtener previamente los permisos del usuario y sin que este se dé cuenta. Por ejemplo, un sitio malicioso especialmente diseñado podría atraer a un usuario a entrar a dicha página y “tomar” el contenido que este tenga en su portapapeles (contraseñas, credenciales bancarias, etc) y cambiarlo por un texto o contenido que ellos decidan.
El investigador Jeff, en su blog, facilitó un sitio web que prueba si tu navegador es vulnerable a esta falla. Solo debes entrar al sitio web “Webplatform News” y verificar el contenido del portapapeles, si tu navegador es vulnerable, en tu portapapeles se encontrará el siguiente texto:
“Hola, este mensaje está en su portapapeles porque visitó el sitio web Web Platform News en un navegador que permite que los sitios web escriban en el portapapeles sin el permiso del usuario. Lo siento por los inconvenientes ocasionados. Para obtener más información sobre este problema, consulte https://github.com/w3c/clipboard-apis/issues/182”.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 29 Agosto al 04 de septiembre de 2022:
Objetivos observados durante semana de análisis:
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: