El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
Ransomware Deadbolt aprovecha una vulnerabilidad de día cero en Photo Station para cifrar los NAS de QNAP
DE acuerdo a lo informado por bleepingcomputer, la operación de ransomware DeadBolt ha estado apuntando a dispositivos NAS desde enero de 2022 utilizando una supuesta vulnerabilidad de día cero en dispositivos NAS expuestos a Internet. La vulnerabilidad recientemente explotada corresponde a una vulnerabilidad de día cero en Photo Station, la cual cifra los servidores NAS de QNAP que están directamente conectados y expuestos hacia internet.
Los detalles de la falla aún no están claros de momento, sin embargo la compañía aconseja a los usuarios que, deshabiliten el reenvío de puertos en los enrutadores, eviten que los dispositivos NAS sean accesibles en Internet, actualicen el firmware del NAS, apliquen contraseñas seguras para las cuentas de usuario y realicen copias de seguridad periódicas para evitar pérdida de datos, así mismo, sugieren activar la función myQNAPcloud Link proporcionada por QNAP o que habiliten el servicio VPN .
Vice Society el Ransomware que está afectando a los distritos escolares de EE. UU.
Durante el fin de semana del Día del Trabajo en el Distrito Unificado de Los Ángeles, se detectó actividad inusual en sus sistemas de Tecnología de la Información que dispuso a 540.000 estudiantes y 70.000 empleados del Distrito a cambiar sus contraseñas.
Según La Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC), los IOC y TTP´s están asociados con los actores del Ransomware Vice Society, identificados a través de investigaciones del FBI en septiembre de 2022.
Se cree que Vice Society es un grupo de intrusión, exfiltración y extorsión con sede en Rusia. Malwarebytes ha estado rastreando al grupo desde diciembre de 2020, debido a las similitudes en los nombres y las tácticas, se sospecha que existe un vínculo con el grupo de ransomware HelloKitty. Ambos usan la extensión de archivo .kitty o .crypted para archivos cifrados. Según CISA, los actores de Vice Society no utilizan una variante de ransomware de origen único, en cambio, los actores han implementado versiones de Hello Kitty/Five Hands y Zeppelin ransomware, pero pueden implementar fácilmente otras variantes en el futuro.
Las tácticas que usa este grupo, corresponden a explotar vulnerabilidades conocidas en los productos de SonicWall y el conjunto de vulnerabilidades comúnmente conocido como PrintNightmare.
Antes de implementar ransomware, los actores pasan tiempo explorando la red, identificando oportunidades para aumentar los accesos y filtrar datos. Se ha observado a los actores de Vice Society usando una variedad de herramientas, incluyendo SystemBC, PowerShell Empire y Cobalt Strike para moverse lateralmente.
Robo de credenciales de Microsoft 365 a través de los redireccionamientos abiertos en los sitios web de Snapchat y American Express
Los redireccionamientos abiertos son debilidades de las aplicaciones web que permiten a los actores de amenazas usar los dominios de organizaciones y sitios web confiables como páginas de destino temporales para simplificar los ataques de phishing.
Segùn la empresa de seguridad de correo electrónico Inky, el mecanismo de ataque que usa esta operaciòn, es usar el primer nombre de dominio de confianza (por ejemplo, American Express, Snapchat, entre otras) que actúa como una página de inicio temporal antes de que el usuario sea redirigido a un sitio malicioso.
Según los investigadores de Inky, la redirección abierta de Snapchat se usó en 6812 correos electrónicos de phishing enviados desde Google Workspace y Microsoft 365, secuestrados durante dos meses y medio.
Estos correos electrónicos se hicieron pasar por Microsoft, DocuSign y FedEx y redirigieron a los destinatarios a páginas de destino diseñadas para obtener las credenciales de Microsoft.
Si bien la vulnerabilidad de Snapchat fue informada a la empresa a través de la plataforma Open Bug Bounty hace un año, el 4 de agosto de 2021, la redirección abierta aún no se ha reparado.
Los exploit de Snapchat y American Express, insertan información de identificación personal (PII) en la URL para que las páginas de destino maliciosas pudieran personalizarse sobre la marcha para las víctimas individuales y en ambos, esta inserción se disfrazó convirtiéndola a Base 64 para que pareciera un montón de caracteres aleatorios.
El grupo de ciberdelincuentes conocidos como TA505 utiliza software de panel de control no documentado llamado TeslaGun para administrar los ataques de puerta trasera de ServHelper
La firma suiza de ciberseguridad PRODAFT anuncia en un informe que este grupo de TeslaGun que permite administrar el el implante ServHelper, que funciona como un marco de comando y control (C2) para comandar las maquinas comprometidas.
Además de usar el panel, también se sabe que los actores de amenazas emplean una herramienta de protocolo de escritorio remoto (RDP) para conectarse manualmente a los sistemas objetivo a través de túneles RDP.
Lazarus APT, vinculada a Corea del Norte, apunta a proveedores de energía en todo el mundo
De acuerdo a investigadores de Talos los ataques de esta APT tienen como objetivo infiltrarse en las organizaciones objetivo para mantener el acceso a largo plazo y extraer datos de las víctimas, entre las principales incluyen proveedores de energía de todo el mundo, principalmente aquellos con sede en los Estados Unidos, Canadá y Japón.
Según la cadena de ataque observada por los expertos, la etapa inicial comienza con la explotación de vulnerabilidades (vulnerabilidad Log4j) en los productos VMWare para lograr puntos de apoyo iniciales en las redes empresariales. Una vez que los actores obtienen acceso a la red comienzan a implementar implantes personalizados rastreados como VSingle y YamaBot.
Sin embargo, también han tenido las siguientes variaciones.
Nuevo malware sigiloso de Linux denominado Shikitega aprovecha una cadena de infección de varias etapas para apuntar a puntos finales y dispositivos IoT
Shikitega es un malware que se destaca por su cadena de infección de múltiples etapas que apunta a terminales y dispositivos IoT. Este malware puede descargar cargas útiles (payload) de la siguiente etapa desde un servidor C2 y ejecutarlas directamente en la memoria.
El malware utiliza el codificador de retroalimentación aditivo XOR polimórfico Shikata Ga Nai, que es uno de los codificadores más populares utilizados en Metasploit. Usando el codificador, el malware se ejecuta a través de varios bucles de decodificación, donde un bucle decodifica la siguiente capa, hasta que se decodifica y ejecuta la carga útil final del shellcode. Los investigadores de AT&T Alien Labs, mencionan en su análisis "después de varios bucles de descifrado, el código de shell de carga útil final se descifrará y ejecutará".
Los hallazgos se suman a una lista creciente de malware de Linux que se ha encontrado en la naturaleza en los últimos meses, incluidos BPFDoor, Symbiote, Syslogk, OrBit y Lightning Framework. El malware logra una escalada de privilegios al explotar la CVE-2021-4034 (también conocido como PwnKit) y la CVE-2021-3493. El malware aprovecha el exploit para descargar y ejecutar la etapa final con privilegios de raíz, la persistencia y la carga útil del malware.
Lampion malware regresa con nuevos ataques de phishing que abusan de WebTransfer
Lampion es un troyano que existe desde al menos 2019, centrándose principalmente en objetivos de habla hispana y utilizando servidores comprometidos para alojar sus .zip maliciosos. Más recientemente, en marzo de 2022, Cyware informó un aumento en la distribución del troyano, identificando un enlace de nombre de host a las operaciones de Bazaar y LockBit.
Cyware también informó que los autores de Lampion estaban tratando activamente de hacer que su malware fuera más difícil de analizar agregando más capas de ofuscación y de código basura.
Para infiltrarse de forma fácil el malware usa WeTransfer, un servicio legítimo para compartir archivos que se puede usar de forma gratuita, por lo que permite eludir el software de seguridad que puede no generar alertas sobre las URL´s utilizadas en los correos electrónicos.
El modo de operación de este malware, es hacer que el usuario descargue a través de correo electrónico un archivo .zip que contiene un archivo VBS (Virtual Basic script) que la víctima debe ejecutar para que comience el ataque.
Tras la ejecución, el script inicia un proceso de WScript que crea cuatro archivos VBS con nombres aleatorios. El primero está vacío, el segundo tiene una funcionalidad mínima y el único propósito del tercero es iniciar el cuarto script.
Los analistas de Cofense comentan que este paso adicional no está claro, pero los enfoques de ejecución modular generalmente se prefieren por su versatilidad, lo que permite intercambiar archivos fácilmente.
El cuarto script inicia un nuevo proceso de WScript que se conecta a dos URL´s codificadas para obtener dos archivos DLL escondidos dentro de ZIP protegidos con contraseña. Las URL´s apuntan a instancias de Amazon AWS.
Enrutadores D-Link Vulnerables atacados desde red de bots Moobot
Los investigadores de la Unidad 42 de Palo Alto Network informaron de una nueva ola de ataques iniciada en agosto, en una falla crítica de inyección de comandos en el servidor WEB de varios productos de Hikvision. Los actores de amenazas exploraron las cuatro vulnerabilidades de D-Link para obtener la ejecución remota de código y obtener un descargador de MooBot desde 159.203.15[.]179.
La botnet Moobot basada en Mirai fue documentada por primera vez por investigadores en febrero de 2021 y en noviembre de 2021, se comenzó a explotar una falla crítica de inyección de comandos (CVE-2021-36260) en el servidor web de varios productos de Hikvision. Como variante, MooBot hereda la característica más importante de Mirai: una sección de datos con credenciales de inicio de sesión predeterminadas integradas y configuradas como botnet, pero en lugar de usar la clave de cifrado de Mirai, 0xDEADBEEF, MooBot cifra sus datos con 0x22.
El análisis del código reveló que el bot MooBot también enviará mensajes de latido al servidor C2 y analizará los comandos de C2 para iniciar un ataque DDoS en una dirección IP y un número de puerto específicos.
Pese a que la vulnerabilidad mencionada anteriormente tiene una complejidad de ataque baja, el impacto de seguridad puede llegar a ser crítico, ya que la vulneración del dispositivo puede conducir a la ejecución remota de código, haciendo que una vez que el atacante tome el control del dispositivo, éste lo incluya en su botnet para realizar más ataques del tipo DDoS.
A continuación se muestra una lista de vulnerabilidades explotadas:
Nuevas vulnerabilidades en Fortinet.
Fortinet ha publicado 12 nuevos avisos de seguridad que incluyen 12 vulnerabilidades, de las cuales: 1 es clasificada como severidad Alta, 9 como severidad Media y 2 como severidad Baja.
Productos Cisco afectados por fallos de seguridad
Cisco ha publicado 4 nuevos avisos de seguridad que contienen 4 vulnerabilidades, de las cuales 2 son de severidad Alta y 2 de severidad Media.
Estos fallos de seguridad afectan principalmente a Cisco SD-WAN, Cisco Webex, entre otros.
Nuevo aviso de Seguridad que afecta a Jenkins
El servidor Jenkins, publicó un aviso de seguridad que contiene 1 vulnerabilidad que es clasificada como severidad Alta [CVSS v3.1: 7.5]
Vulnerabilidad Zero-Day en dispositivos EoL de Cisco
Recientemente ha salido a la luz una nueva vulnerabilidad Zero-Day que permite generar Bypass en servicio VPN de dispositivos Cisco Router que han llegado al final de su vida útil (EoL), por lo que desde la marca aún no han lanzado un parche oficial y muy probablemente tampoco ocurra en un futuro.
Esta vulnerabilidad se encuentra enfocada principalmente en dispositivos Small Business VPN Routers en las versiones que ya están fuera de su tiempo de vida, es decir, ya no reciben actualizaciones ni existe soporte para estos dispositivos debido a la antigüedad de los mismos.
Es importante destacar que estos dispositivos son principalmente adquiridos por tal y como dice su nombre pequeños negocios, por lo que es posible que aun satisfagan los requerimientos de procesamiento de datos de las empresas y es por esto que muchos optan por no cambiarlos con el paso del tiempo, sin embargo, debido a acontecimientos como estos es que deben ser renovados cada ciertos periodos de tiempo establecidos por la marca.
La vulnerabilidad permite que usuarios no autenticados directamente desde internet puedan saltar los controles de acceso y generar una conexión VPN con diferentes niveles de privilegio según la confección del ataque, pudiendo llegar a obtener privilegios de usuario administrativo. Esto esta dado por la implementacion inapropiada de algoritmos de validación de contraseñas.
GIFShell el ataque de shell inverso que afecta vulnerabilidades de GIF de Microsoft Teams
Según Bobby Rauch, consultor de ciberseguridad y pentester, quien descubrió las vulnerabilidades explotadas por GIFShell, reveló la vulnerabilidad de Microsoft Teams en junio de 2022. Según el experto, el modo de operación de este malware ocupa la configuración predeterminada de Teams que permite el acceso externo con cualquier otro inquilino y lo usa para enviar un mensaje de chat que contiene un GIF especial a un usuario en otro inquilino. El GIF podría contener comandos para ejecutar en la máquina de destino que crea el shell inverso.
Para crear el shell inverso, el atacante a través del phishing convence al usuario que instale un controlador malicioso que ejecuta comandos de shell y carga la salida del comando a través de una URL GIF en un enlace web de Microsoft Teams.
Para que el usuario cargue el ejecutable, GIFShell usa el malware “stager”, que monitorea continuamente los registros de Teams ubicados en ($HOME\AppData\Roaming\Microsoft\Teams\IndexedDB\https_teams.microsoft.com_0.indexeddb. niveldb\*.log) y cuando encuentra un GIF, extrae y ejecuta los comandos. La salida codificada en base64 se usa como nombre de archivo para un GIF remoto incrustado en una tarjeta adaptable enviada por el controlador de escenarios a la URL, para el conector de webhook entrante creado para un canal de Teams en el inquilino del atacante.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 12 al 19 de Septiembre de 2022:
Objetivos observados durante semana de análisis:
Lazarus, mantiene sus campañas de Phishing utilizando LOLBins |
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: