ENTEL Weekly Threat Intelligence Brief del 05 al 11 de Septiembre de 2022

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Ransomware Deadbolt aprovecha una vulnerabilidad de día cero en Photo Station para cifrar los NAS de QNAP.
• Vice Society el Ransomware que está afectando a los distritos escolares de  EE. UU.
• Ciberdelincuentes conocidos como TA505 utiliza software de panel de control no documentado llamado TeslaGun para administrar los ataques de puerta trasera de ServHelper.
• Lazarus APT, vinculada a Corea del Norte, apunta a proveedores de energía en todo el mundo.
• El grupo APT vinculado a Irán DEV-0270 (también conocido como Nemesis Kitten), está abusando de la función BitLocker de Windows para cifrar los dispositivos de las víctimas.
• Nuevo malware sigiloso de Linux denominado Shikitega, aprovecha una cadena de infección de varias etapas para apuntar a puntos finales y dispositivos IoT.
• Lampion malware regresa con nuevos ataques de phishing que abusan de WebTransfer.
• Enrutadores D-Link Vulnerables atacados desde red de bots Moobot.
• Nuevas vulnerabilidades en Fortinet.
• Productos Cisco afectados por fallos de seguridad.
• Nuevo aviso de Seguridad que afecta a Jenkins.
• Vulnerabilidad Zero-Day en dispositivos EoL de Cisco.
• GIFShell el ataque de shell inverso que afecta vulnerabilidades de GIF de Microsoft Teams.

Ransomware Deadbolt aprovecha una vulnerabilidad de día cero en Photo Station para cifrar los NAS de QNAP  

DE acuerdo a lo informado por bleepingcomputer, la operación de ransomware DeadBolt ha estado apuntando a dispositivos NAS desde enero de 2022 utilizando una supuesta vulnerabilidad de día cero en dispositivos NAS expuestos a Internet. La vulnerabilidad recientemente explotada corresponde a una vulnerabilidad de día cero en Photo Station, la cual cifra los servidores NAS de QNAP que están directamente conectados y expuestos hacia internet.

Los detalles de la falla aún no están claros de momento, sin embargo la compañía aconseja a los usuarios que, deshabiliten el reenvío de puertos en los enrutadores, eviten que los dispositivos NAS sean accesibles en Internet, actualicen el firmware del NAS, apliquen contraseñas seguras para las cuentas de usuario y realicen copias de seguridad periódicas para evitar pérdida de datos, así mismo, sugieren activar la función myQNAPcloud Link proporcionada por QNAP o que habiliten el servicio VPN .

Vice Society el Ransomware que está afectando a los distritos escolares de  EE. UU.

Durante el fin de semana del Día del Trabajo en el Distrito Unificado de Los Ángeles, se detectó actividad inusual en sus sistemas de Tecnología de la Información que dispuso a 540.000 estudiantes y 70.000 empleados del Distrito a cambiar sus contraseñas.

Según La Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC), los IOC y TTP´s están asociados con los actores del Ransomware Vice Society, identificados a través de investigaciones del FBI en septiembre de 2022. 

Se cree que Vice Society es un grupo de intrusión, exfiltración y extorsión con sede en Rusia. Malwarebytes ha estado rastreando al grupo desde diciembre de 2020, debido a las similitudes en los nombres y las tácticas, se sospecha que existe un vínculo con el grupo de ransomware HelloKitty. Ambos usan la extensión de archivo .kitty o .crypted para archivos cifrados. Según CISA, los actores de Vice Society no utilizan una variante de ransomware de origen único, en cambio, los actores han implementado versiones de Hello Kitty/Five Hands y Zeppelin ransomware, pero pueden implementar fácilmente otras variantes en el futuro.

Las tácticas que usa este grupo, corresponden a  explotar vulnerabilidades conocidas en los productos de SonicWall y el conjunto de vulnerabilidades comúnmente conocido como PrintNightmare.

Antes de implementar ransomware, los actores pasan tiempo explorando la red, identificando oportunidades para aumentar los accesos y filtrar datos. Se ha observado a los actores de Vice Society usando una variedad de herramientas, incluyendo SystemBC, PowerShell Empire y Cobalt Strike para moverse lateralmente.

Robo de credenciales de Microsoft 365 a través de los redireccionamientos abiertos en los sitios web de Snapchat y American Express

Los redireccionamientos abiertos son debilidades de las aplicaciones web que permiten a los actores de amenazas usar los dominios de organizaciones y sitios web confiables como páginas de destino temporales para simplificar los ataques de phishing.

Segùn la empresa de seguridad de correo electrónico Inky, el mecanismo de ataque que usa esta operaciòn, es usar el primer nombre de dominio de confianza (por ejemplo, American Express, Snapchat, entre otras) que actúa como una página de inicio temporal antes de que el usuario  sea redirigido a un sitio malicioso.

Según los investigadores de Inky, la redirección abierta de Snapchat se usó en 6812 correos electrónicos de phishing enviados desde Google Workspace y Microsoft 365, secuestrados durante dos meses y medio. 

Estos correos electrónicos se hicieron pasar por Microsoft, DocuSign y FedEx y redirigieron a los destinatarios a páginas de destino diseñadas para obtener las credenciales de Microsoft.

Si bien la vulnerabilidad de Snapchat  fue informada a la empresa a través de la plataforma Open Bug Bounty hace un año, el 4 de agosto de 2021, la redirección abierta aún no se ha reparado.

Los exploit de Snapchat y American Express, insertan información de identificación personal (PII) en la URL para que las páginas de destino maliciosas pudieran personalizarse sobre la marcha para las víctimas individuales y en ambos, esta inserción se disfrazó convirtiéndola a Base 64 para que pareciera un montón de caracteres aleatorios.

El grupo de ciberdelincuentes conocidos como TA505 utiliza software de panel de control no documentado llamado TeslaGun para administrar los ataques de puerta trasera de ServHelper

La firma suiza de ciberseguridad PRODAFT anuncia en un informe que este grupo de TeslaGun que permite administrar el el implante ServHelper, que funciona como un marco de comando y control (C2) para comandar las maquinas comprometidas. 

Además de usar el panel, también se sabe que los actores de amenazas emplean una herramienta de protocolo de escritorio remoto (RDP) para conectarse manualmente a los sistemas objetivo a través de túneles RDP.

Lazarus APT, vinculada a Corea del Norte, apunta a proveedores de energía en todo el mundo

De acuerdo a investigadores de Talos los ataques de esta APT tienen como objetivo infiltrarse en las organizaciones objetivo para mantener el acceso a largo plazo y extraer datos de las víctimas, entre las principales incluyen proveedores de energía de todo el mundo, principalmente aquellos con sede en los Estados Unidos, Canadá y Japón.

Según la cadena de ataque observada por los expertos, la etapa inicial comienza con la explotación de vulnerabilidades (vulnerabilidad Log4j) en los productos VMWare para lograr puntos de apoyo iniciales en las redes empresariales. Una vez que los actores obtienen acceso a la red comienzan a implementar implantes personalizados rastreados como VSingle y YamaBot.

Sin embargo, también han tenido las siguientes variaciones. 

• Recolección de credenciales utilizando herramientas como Mimikatz y Procdump.
• Herramientas de proxy para configurar proxies SOCK.
• Herramientas de tunelización inversa como plink de PuTTY.

Nuevo malware sigiloso de Linux denominado Shikitega aprovecha una cadena de infección de varias etapas para apuntar a puntos finales y dispositivos IoT

Shikitega es un malware que se destaca por su cadena de infección de múltiples etapas que apunta a terminales y dispositivos IoT. Este malware puede descargar cargas útiles (payload) de la siguiente etapa desde un servidor C2 y ejecutarlas directamente en la memoria.

El malware utiliza el codificador de retroalimentación aditivo XOR polimórfico Shikata Ga Nai, que es uno de los codificadores más populares utilizados en Metasploit. Usando el codificador, el malware se ejecuta a través de varios bucles de decodificación, donde un bucle decodifica la siguiente capa, hasta que se decodifica y ejecuta la carga útil final del shellcode. Los investigadores de AT&T Alien Labs, mencionan en su análisis "después de varios bucles de descifrado, el código de shell de carga útil final se descifrará y ejecutará".

Los hallazgos se suman a una lista creciente de malware de Linux que se ha encontrado en la naturaleza en los últimos meses, incluidos  BPFDoor, Symbiote, Syslogk, OrBit y Lightning Framework. El malware logra una escalada de privilegios al explotar la  CVE-2021-4034 (también conocido como PwnKit) y la CVE-2021-3493. El malware aprovecha el exploit para descargar y ejecutar la etapa final con privilegios de raíz, la persistencia y la carga útil del malware.

Lampion malware regresa con nuevos ataques de phishing que abusan de WebTransfer

Lampion es un troyano que existe desde al menos 2019, centrándose principalmente en objetivos de habla hispana y utilizando servidores comprometidos para alojar sus .zip maliciosos. Más recientemente, en marzo de 2022, Cyware informó un aumento en la distribución del troyano, identificando un enlace de nombre de host a las operaciones de Bazaar y LockBit.

Cyware también informó que los autores de Lampion estaban tratando activamente de hacer que su malware fuera más difícil de analizar agregando más capas de ofuscación y de código basura.

Para infiltrarse de forma fácil el malware usa WeTransfer, un servicio legítimo para compartir archivos que se puede usar de forma gratuita, por lo que permite eludir el software de seguridad que puede no generar alertas sobre las URL´s utilizadas en los correos electrónicos.

El modo de operación de este malware, es hacer que el usuario descargue a través de correo electrónico un archivo .zip que contiene un archivo VBS (Virtual Basic script) que la víctima debe ejecutar para que comience el ataque.

Tras la ejecución, el script inicia un proceso de WScript que crea cuatro archivos VBS con nombres aleatorios. El primero está vacío, el segundo tiene una funcionalidad mínima y el único propósito del tercero es iniciar el cuarto script.

Los analistas de Cofense comentan que este paso adicional no está claro, pero los enfoques de ejecución modular generalmente se prefieren por su versatilidad, lo que permite intercambiar archivos fácilmente.

El cuarto script inicia un nuevo proceso de WScript que se conecta a dos URL´s codificadas para obtener dos archivos DLL escondidos dentro de ZIP protegidos con contraseña. Las URL´s apuntan a instancias de Amazon AWS.

Enrutadores D-Link Vulnerables atacados desde red de bots Moobot 

Los investigadores de la Unidad 42 de Palo Alto Network informaron de una nueva ola de ataques iniciada en agosto, en una falla crítica de inyección de comandos en el servidor WEB de varios productos de Hikvision. Los actores de amenazas exploraron las cuatro vulnerabilidades de D-Link para obtener la ejecución remota de código y obtener un descargador de MooBot desde 159.203.15[.]179. 

La  botnet Moobot basada en Mirai fue documentada  por primera vez por investigadores en febrero de 2021 y en noviembre de 2021, se comenzó a explotar una falla crítica de inyección de comandos (CVE-2021-36260) en el servidor web de varios productos de Hikvision. Como variante, MooBot hereda la característica más importante de Mirai: una sección de datos con credenciales de inicio de sesión predeterminadas integradas y configuradas como botnet, pero en lugar de usar la clave de cifrado de Mirai, 0xDEADBEEF, MooBot cifra sus datos con 0x22.

El análisis del código reveló que el bot MooBot también enviará mensajes de latido al servidor C2 y analizará los comandos de C2 para iniciar un ataque DDoS en una dirección IP y un número de puerto específicos.

Pese a que la vulnerabilidad mencionada anteriormente tiene una complejidad de ataque baja, el impacto de seguridad puede llegar a ser crítico, ya que la vulneración del dispositivo puede conducir a la ejecución remota de código, haciendo que una vez que el atacante tome el control del dispositivo, éste lo incluya en su botnet para realizar más ataques del tipo DDoS.

A continuación se muestra una lista de vulnerabilidades explotadas:

• CVE-2015-2051 : Vulnerabilidad de ejecución de comando de encabezado de acción HNAP SOAPA de D-Link.
• CVE-2018-6530 : Vulnerabilidad de ejecución remota de código de la interfaz SOAP de D-Link.
• CVE-2022-26258 : Vulnerabilidad de ejecución de comandos remotos de D-Link.
• CVE-2022-28958 : Vulnerabilidad de ejecución de comandos remotos de D-Link.

Nuevas vulnerabilidades en Fortinet.

Fortinet ha publicado 12 nuevos avisos de seguridad que incluyen 12 vulnerabilidades, de las cuales: 1 es clasificada como severidad Alta, 9 como severidad Media y 2 como severidad Baja.

• CVE-2022-29058 [CVSS v3: 7.6]
  FortiAP & FortiAP-S & FortiAP-W2 & FortiAP-U - Inyección de comandos en CLI
   
• CVE-2021-43076 [CVSS v3: 6.2]
  FortiADC: usuario de solo lectura capaz de modificar archivos del sistema
   
• CVE-2022-26114 [CVSS v3: 5.1]
  FortiMail - Cross-site scripting (XSS) en Webmail
   
• CVE-2022-38377 [CVSS v3: 4.1]
  FortiManager y FortiAnalyzer: fuga de información entre ADOM
   
• CVE-2022-38377 [CVSS v3: 4.1]
  FortiManager y FortiAnalyzer: fuga de información entre ADOM
   
• CVE-2021-43080 [CVSS v3: 4.5]
  FortiOS: vulnerabilidad XSS observada en conectores externos de Security Fabric
   
• CVE-2022-29061 [CVSS v3: 6.8]
  FortiSOAR - Inyección de comando del sistema operativo en el campo de contraseña del agente
   
• CVE-2022-29062 [CVSS v3: 6.2]
  FortiSOAR: vulnerabilidades de cruce de ruta en la API web
   
• CVE-2022-30298 [CVSS v3: 6.6]
  FortiSOAR: escalada de privilegios del usuario nginx a la raíz
   
• CVE-2022-35847 [CVSS v3: 5.9]
  FortiSOAR - Inyección de plantilla del lado del servidor en el componente Playbook
   
• CVE-2022-29053 [CVSS v3: 2.1]
  FortiOS: fallas en el esquema de cifrado de tabla de claves krb
   
• CVE-2022-29059 [CVSS v3: 2.6]
  FortiWeb - Inyección SQL en el componente de filtro de eliminación

Productos Cisco afectados por fallos de seguridad

Cisco ha publicado 4 nuevos avisos de seguridad que contienen 4 vulnerabilidades, de las cuales 2 son de  severidad Alta y 2 de severidad Media.

Estos fallos de seguridad afectan principalmente a Cisco SD-WAN, Cisco Webex, entre otros.

• CVE-2022-20696 [CVSS: 7.5]
  Vulnerabilidad de acceso no autenticado del software Cisco SD-WAN vManage a los servicios de mensajería
   
• CVE-2022-28199 [CVSS: 8.6]
  Vulnerabilidad en el kit de desarrollo del plano de datos de NVIDIA que afecta a los productos de Cisco
   
• CVE-2022-20863 [CVSS: 4.3]
  Vulnerabilidad de manipulación de la interfaz de caracteres de la aplicación Cisco Webex Meetings
   
• CVE-2022-20923 [CVSS: 4.0]
  Vulnerabilidad de omisión de autenticación del servidor VPN IPSec de algunos routers de Cisco Small Business

Nuevo aviso de Seguridad que afecta a Jenkins

El servidor Jenkins, publicó un aviso de seguridad que contiene 1 vulnerabilidad que es clasificada como severidad Alta [CVSS v3.1: 7.5]

• CVE-2022-2048 [CVSS v3.1: 7.5]
  Vulnerabilidad de denegación de servicio HTTP/2 en Jetty incluido.

Vulnerabilidad Zero-Day en dispositivos EoL de Cisco

Recientemente ha salido a la luz una nueva vulnerabilidad Zero-Day que permite generar Bypass en servicio VPN de dispositivos Cisco Router que han llegado al final de su vida útil (EoL), por lo que desde la marca aún no han lanzado un parche oficial y muy probablemente tampoco ocurra en un futuro.

Esta vulnerabilidad se encuentra enfocada principalmente en dispositivos Small Business VPN Routers en las versiones que ya están fuera de su tiempo de vida, es decir, ya no reciben actualizaciones ni existe soporte para estos dispositivos debido a la antigüedad de los mismos.

Es importante destacar que estos dispositivos son principalmente adquiridos por tal y como dice su nombre pequeños negocios, por lo que es posible que aun satisfagan los requerimientos de procesamiento de datos de las empresas y es por esto que muchos optan por no cambiarlos con el paso del tiempo, sin embargo, debido a acontecimientos como estos es que deben ser renovados cada ciertos periodos de tiempo establecidos por la marca.

La vulnerabilidad permite que usuarios no autenticados directamente desde internet puedan saltar los controles de acceso y generar una conexión VPN con diferentes niveles de privilegio según la confección del ataque, pudiendo llegar a obtener privilegios de usuario administrativo. Esto esta dado por la implementacion inapropiada de algoritmos de validación de contraseñas.

GIFShell el ataque de shell inverso que afecta vulnerabilidades de GIF de Microsoft Teams

Según Bobby Rauch, consultor de ciberseguridad y pentester, quien descubrió las vulnerabilidades explotadas por GIFShell, reveló la vulnerabilidad de Microsoft Teams en junio de 2022. Según el experto, el modo de operación de este malware ocupa la configuración predeterminada de Teams que permite el acceso externo con cualquier otro inquilino y lo usa para enviar un mensaje de chat que contiene un GIF especial a un usuario en otro inquilino. El GIF podría contener comandos para ejecutar en la máquina de destino que crea el shell inverso.

Para crear el shell inverso, el atacante a través del phishing convence al usuario que instale un controlador malicioso que ejecuta comandos de shell y carga la salida del comando a través de una URL GIF en un enlace web de Microsoft Teams.

Para que el usuario cargue el ejecutable, GIFShell usa el malware “stager”, que monitorea continuamente los registros de Teams ubicados en ($HOME\AppData\Roaming\Microsoft\Teams\IndexedDB\https_teams.microsoft.com_0.indexeddb. niveldb\*.log) y cuando encuentra un GIF, extrae y ejecuta los comandos. La salida codificada en base64 se usa como nombre de archivo para un GIF remoto incrustado en una tarjeta adaptable enviada por el controlador de escenarios a la URL, para el conector de webhook entrante creado para un canal de Teams en el inquilino del atacante.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 12 al 19 de Septiembre de 2022:

Objetivos observados durante semana de análisis: 

• Gobierno
• Infraestructura tecnológica
• Petróleo
• Energía
• Banca y Finanzas
• Seguros
• Retail y servicios de consumo
• Tecnología

• Banca y Finanzas
• Energía
• Infraestructura tecnológica
• Energía
• Petróleo

• Educación
• Servicios

• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios de salud, sociales y farmacia.
• Servicios legales y profesionales

• Agua
• Construcción e inmobiliaria
• Entretenimiento, cultura y arte
• Industrias manufactureras, materiales y minería
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
• Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
• Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
• Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
• Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
• Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
• Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.