ENTEL Weekly Threat Intelligence Brief del 12 al 18 de Septiembre de 2022

20 Septiembre 2022
Alto

 

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

 

  • Cisco confirma filtración de datos de sus sistemas por el grupo de Ransomware Yanluowang
  • Lorenz Ransomware explota los sistemas VoIP de Mitel para violar las redes comerciales
  • Nuevo Ransomware Sparta, hace su debut con el ataque a varias compañías en su mayoría españolas.
  • El ransomware Hive reclama ciberataque a la subsidiaria de Bell Canada
  • El grupo Apt TA453 vinculado a Irán utilizó una nueva técnica de suplantación de identidad de múltiples personas en ataques recientes.
  • SparklingGoblin APT agrega una nueva variante de Linux del implante SideWalk a su arsenal.
  • Gamaredon APT vinculado a Rusia apunta a Ucrania con un nuevo ladrón de información.
  • APT vinculado a Corea del Norte difunde versiones contaminadas de PuTTY a través de WhatsApp.
  • Malware para robo de información es usado para redes gubernamentales de Asia.
  • OriginLogger RAT: sucesor del agente Tesla Malware.
  • Webworm Hackers que utilizan RAT modificadas en los últimos ataques de ciberespionaje.
  • Inyecciòn de malware en extensiones de FishPig, afectan a proveedor de integraciones de Magento-WordPress.
  • El cliente PuTTY SSH, es usado por ciberdelincuentes como un troyano que le permite instalar puertas traseras.
  • Patch Day SAP – Septiembre 2022.
  • Patch Tuesday de septiembre de Microsoft corrige 63 vulnerabilidades.
  • Nuevas vulnerabilidades en Cisco afectan al IOS XR.
  • Palo Alto informa recientes fallas de seguridad.
  • Vulnerabilidad afecta al Hypervisor de Citrix.
  • Ataque de Ingeniería Social provoca infiltración en la red de Uber.
  • Las nuevas actualizaciones del BIOS de Lenovo corrigen errores de seguridad en cientos de modelos.
  • Más de 280,000 sitios de WordPress atacados usando la vulnerabilidad de día cero del complemento WPGateway.
  • El nuevo spin-off de PsExec permite a los piratas eludir las defensas de seguridad de la red.
  • Vulnerabilidad Apex One RCE de Trend Micro  explotada activamente.
  • Nueva vulnerabilidad de Microsoft Teams almacena tokens de autenticación como texto sin cifrar en Windows, Linux, Mac.

Cisco confirma filtración de datos de sus sistemas por el grupo de Ransomware Yanluowang

La investigación realizada por Cisco Security Incident Response (CSIRT) y Cisco Talos reveló que los actores de amenazas comprometieron las credenciales de un empleado de Cisco después de que obtuvieron el control de una cuenta personal de Google donde se sincronizaban las credenciales guardadas en el navegador de la víctima. 

Una vez obtenidas las credenciales, los atacantes lanzaron ataques de phishing de voz en un intento de engañar a la víctima para que aceptara la notificación automática de MFA iniciada por el atacante.

Al lograr una aceptación de inserción de MFA, el atacante tuvo acceso a la VPN en el contexto del usuario objetivo. El atacante llevó a cabo una serie de sofisticados ataques de phishing de voz bajo la apariencia de varias organizaciones confiables que intentaban convencer a la víctima de que aceptara las notificaciones automáticas de autenticación multifactor (MFA) iniciadas por el atacante. El atacante finalmente logró lograr una aceptación de MFA push, otorgándole acceso a VPN en el contexto del usuario objetivo. 

Según Talos, una vez que el atacante obtuvo el acceso inicial, inscribió una serie de nuevos dispositivos para MFA y se autenticaron con éxito en la VPN de Cisco. Luego, los actores de amenazas escalaron a privilegios administrativos antes de iniciar sesión en múltiples sistemas, que les permitió a su vez implantar múltiples herramientas en la red, para el acceso remoto como LogmeIn Teamviewer, Cobalt Strike, PowerSploit, Mimikatz e Impacket.

 

Lorenz Ransomware explota los sistemas VoIP de Mitel para violar las redes comerciales

Lorenz, como muchos otros grupos de ransomware, es conocido por la doble extorsión extrayendo datos antes de cifrar los sistemas, éste actor ha tenido como objetivo pequeñas y medianas empresas (PYMES) ubicadas en los EE. UU., y en menor medida en China y México.

De acuerdo a Arctic Wolf, los actores de amenazas armaron la falla de ejecución remota de código para establecer un shell inverso y descargar la utilidad de proxy Chisel.

Esto implica que el acceso inicial se facilitó con la ayuda de un agente de acceso denominado ( IAB ), que posee un exploit para CVE-2022-29499, al que los actores de amenazas tienen la capacidad de hacer por sí mismos. Según algunas fuentes  el grupo de Lorenz esperó casi un mes después de obtener el acceso inicial para realizar acciones posteriores a la explotación, incluido el establecimiento de la persistencia por medio de un shell web, la recolección de credenciales, el reconocimiento de la red, la escalada de privilegios y el movimiento lateral.

El compromiso finalmente culminó con la filtración de datos usando FileZilla, luego de lo cual los hosts fueron encriptados usando el servicio BitLocker de Microsoft.

 

Nuevo Ransomware Sparta, hace su debut con ataque a por lo menos 10 compañías españolas.

Según algunas fuentes este nuevo grupo de ransomware denominado Sparta anuncia su debut ésta semana con el pasado ataque a compañías españolas en su mayoría del rubro de servicios , entre las cuales se pueden mencionar :

  • SERCOM
  • COMSA Corporación 
  • Rivisa
  • Fundació Sant Francesc d'Assís 
  • Grupo Galilea
  • Tema Litoclean Group
  • Ferrer&Ojeda

 

El ransomware Hive reclama ciberataque a la subsidiaria de Bell Canada

BTS es una subsidiaria independiente con más de 4500 empleados, que se especializa en la instalación de servicios Bell para clientes residenciales y de pequeñas empresas en las provincias de Ontario y Québec.

Si bien la compañía canadiense de telecomunicaciones no reveló cuándo se violó su red ò ocurrió el ataque, Hive afirma en una nueva entrada agregada a su blog de fuga de datos que cifró los sistemas de BTS hace casi un mes, el 20 de agosto de 2022. 

Hive  es una operación de Ransomware-as-a-Service (RaaS) activa desde  junio de 2021  detrás de ataques contra docenas de organizaciones, contando solo a aquellas víctimas cuyos datos se filtraron en línea después de negarse a pagar el rescate.

 

El grupo Apt TA453 vinculado a Irán utilizó una nueva técnica de suplantación de identidad de múltiples personas en ataques recientes

Los investigadores de Proofpoint descubrieron una campaña de ciberespionaje realizada por actores de amenazas TA453 vinculados a Irán.

La campaña estaba dirigida a personas especializadas en asuntos de Oriente Medio, seguridad nuclear e investigación del genoma. Los actores de amenazas utilizaron al menos dos personas controladas por actores en un solo hilo de correo electrónico para apuntar a sus víctimas. Estos correos de  phishing, se hacen pasar por individuos legítimos en organizaciones de investigación de política exterior occidentales, incluido el Centro de Investigación Pew, el Instituto de Investigación de Política Exterior (FRPI), Chatham House del Reino Unido y la revista científica Nature.

Desde mediados de junio de 2022, los atacantes emplearon una nueva técnica llamada Suplantación de personalidad múltiple (MPI), en la que utilizaron no una, sino varias personas controladas por actores en la misma conversación de correo electrónico para engañar a las víctimas haciéndoles creer que el mensaje es legítimo.

TA453 inicia una conversación enmascarada utilizando un mensaje que incluye una variedad de preguntas destinadas a generar un diálogo sobre temas de interés en el área de Medio Oriente. Las preguntas en realidad están destinadas a establecer un pretexto para enviar un enlace de recolección de credenciales de seguimiento o entregar un documento malicioso.

El enlace incrustado es un enlace de OneDrive que descarga un documento de Microsoft Office.

Un día después del correo electrónico inicial, una de las personas involucradas en la discusión respondió al hilo del correo electrónico probablemente en un intento de establecer la veracidad de la solicitud y solicitar una respuesta del objetivo. Este segundo mensaje no incluye documentos o enlaces maliciosos. 

El documento se basa en la inyección de plantilla remota  para descargar Korg, que es una plantilla maliciosa que consta de tres macros (Module1.bas, Module2.bas y ThisDocument.cls) que están diseñadas para recopilar nombres de usuario, una lista de procesos en ejecución y el direcciones IP públicas de las víctimas.

 

SparklingGoblin APT agrega una nueva variante de Linux del implante SideWalk a su arsenal

Esta APT vinculada a China, fue descubierta por primera ves usando la nueva variante contra una universidad de Hong Kong en febrero de 2021, que ya había sido blanco de SparklingGoblin durante las protestas estudiantiles de mayo de 2020.

SideWalk tiene una estructura modular que permite que el malware cargue dinámicamente módulos adicionales obtenidos del servidor C&C. Los expertos informaron que la puerta trasera se basa en Google Docs como un sistema de resolución de problemas y utiliza servicios de Cloudflare como un servidor de C&C. El malware se comunica con la máquina infectada y el C&C mediante HTTP o HTTPS, según la configuración, pero en ambos casos, los datos se serializan de la misma manera.

 

Gamaredon APT vinculado a Rusia apunta a Ucrania con un nuevo ladrón de información

El grupo APT Gamaredon vinculado a Rusia, actualmente tiene como principal foco en empleados del gobierno ucraniano, las agencias de defensa y las fuerzas del orden. 

Cisco Talos descubrió  la actividad APT de Gamaredon, inicia sus operaciones  archivos LNK maliciosos distribuidos en archivos RAR. La campaña, parte de una operación de espionaje en curso observada en agosto de 2022, tiene como objetivo entregar malware de robo de información a las máquinas de las víctimas ucranianas y hace un uso intensivo de múltiples scripts modulares de PowerShell y VBScript (VBS) como parte de la cadena de infección. El ladrón de información es un malware de doble propósito que incluye capacidades para exfiltrar tipos de archivos específicos (.doc, .docx, .xls, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z y .mdb) y desplegar cargas útiles adicionales binarias y basadas en secuencias de comandos en un punto final infectado

 

APT vinculado a Corea del Norte difunde versiones contaminadas de PuTTY a través de WhatsApp

El actor de amenaza conocido como UNC4034  vinculado a Corea del Norte, está usando una nueva metodología de spear phish para difundir versiones corruptas del cliente PuTTY SSH y Telnet. 

La cadena de ataque comienza con una oportunidad de trabajo falsa en Amazon enviada a las víctimas por correo electrónico. Posteriormente, UNC4034 se comunicó con ellos a través de  WhatsApp  y, una vez establecida la comunicación con la víctima a través de WhatsApp, los actores de amenazas engañaron a las víctimas para que descargaran una imagen ISO maliciosa disfrazada de trabajo falso.

El archivo contiene un archivo de texto que contiene una dirección IP y credenciales de inicio de sesión, y una versión de puerta trasera de PuTTY que se usó para cargar un cuentagotas llamado DAVESHELL, que implementa una variante más nueva de una puerta trasera denominada AIRDRY. AIRDRY, también conocido como BLINDINGCAN , es una de las puertas traseras utilizadas por los grupos APT vinculados a Corea del Norte en ataques anteriores.

 

Malware para robo de información es usado para redes gubernamentales de Asia.

Según algunas fuentes las campañas de este malware parecen estar  enfocadas casi exclusivamente en entidades gubernamentales o públicas en Asia, incluyendo:

  • Jefe de gobierno/Oficina del primer ministro
  • Instituciones gubernamentales vinculadas a las finanzas
  • Empresas aeroespaciales y de defensa de propiedad estatal
  • Empresas de telecomunicaciones estatales
  • Organizaciones de TI de propiedad estatal
  • Empresas de medios estatales

El El ataque comienza con la implantación de una DLL maliciosa que se carga de forma lateral al iniciar el ejecutable de una aplicación legítima para cargar un archivo .dat.

En este caso, la aplicación legítima de la que abusaron los piratas informáticos era un ejecutable Bitdefender Crash Handler de 11 años.

La carga útil inicial de .dat contiene un código shell encriptado que se puede aprovechar para ejecutar comandos o cargas útiles adicionales directamente desde la memoria.

Solo tres días después de establecer el acceso de puerta trasera, los actores de amenazas instalaron ProcDump para arrebatar las credenciales de usuario del Servicio de servidor de autoridad de seguridad local (LSASS).

Además, los piratas informáticos intentaron explotar CVE-2020-1472 (Netlogon) contra dos computadoras en la misma red para elevar sus privilegios.

Los atacantes usaron PsExec para ejecutar Crash Handler y realizar el truco de secuestro de órdenes DLL para cargar cargas útiles en computadoras adicionales en la red.

Un mes después de la intrusión, los atacantes obtuvieron privilegios para crear nuevas cuentas de usuario y montaron una instantánea del servidor de directorio activo para acceder a las credenciales de los usuarios y los archivos de registro.

Finalmente, Symantec observó la implementación de Fscan para intentar explotar CVE-2021-26855 (Proxylogon) contra Exchange Servers en la red comprometida.

El equipo Threat Hunter de Symantec vinculó esta campaña a los grupos de amenazas APT41 y Mustang Panda patrocinados por el estado chino en función de herramientas maliciosas previamente vinculadas a estos equipos de espionaje.

 

OriginLogger RAT: sucesor del agente Tesla Malware

Segun fuentes la muestra de malware (" OriginLogger.exe ") se cargó en la base de datos de malware VirusTotal el 17 de mayo de 2022. 

El ejecutable es un binario generador que permite que un cliente especifique los tipos de datos que se capturarán, incluido el portapapeles, las capturas de pantalla y la lista de aplicaciones y servicios (por ejemplo, navegadores, clientes de correo electrónico, etc.) desde los cuales se obtendrán las credenciales. 

La autenticación del usuario se logra mediante el envío de una solicitud a un servidor OriginLogger, que se resuelve en los nombres de dominio 0xfd3[.]com y su contraparte más reciente originpro[.]me en función de dos artefactos compilados el 6 de septiembre de 2020 y el 29 de junio de 2022 .

Unit 42 dijo que pudo identificar un perfil de GitHub con el nombre de usuario 0xfd3 que alojaba dos repositorios de código fuente para robar contraseñas de Google Chrome y Microsoft Outlook, los cuales se usan en OrionLogger.

OrionLogger, como el Agente Tesla, se entrega a través de un documento de Microsoft Word señuelo que, cuando se abre, está diseñado para mostrar una imagen de un pasaporte para un ciudadano alemán y una tarjeta de crédito, junto con una serie de hojas de cálculo de Excel incrustadas en él.

Las hojas de trabajo, a su vez, contienen una macro de VBA que utiliza MSHTA para invocar una página HTML alojada en un servidor remoto que, por su parte, incluye un código JavaScript ofuscado para obtener dos archivos binarios codificados alojados en Bitbucket.

 

Webworm Hackers que utilizan RAT modificadas en los últimos ataques de ciberespionaje

Webworm, activo desde 2017, tiene un historial de ataques a agencias gubernamentales y empresas involucradas en servicios de TI, industrias aeroespaciales y de energía eléctrica ubicadas en Rusia, Georgia, Mongolia y varias otras naciones asiáticas.

Según los investigadores de Symantec, las cadenas de ataque implican el uso de malware dropper que alberga un cargador diseñado para lanzar versiones modificadas de los troyanos de acceso remoto Trochilus, Gh0st y 9002. La mayoría de los cambios están destinados a evadir la detección, dijo la firma de ciberseguridad, y señaló que el acceso inicial se logra a través de la ingeniería social con documentos señuelo.

Symantec dijo que el actor de amenazas Webworm exhibe superposiciones tácticas con otro nuevo colectivo adversario documentado por Positive Technologies a principios de mayo como Space Pirates , que se encontró golpeando entidades en la industria aeroespacial rusa con malware novedoso.

Space Pirates, por su parte, se cruza con la actividad de espionaje china previamente identificada conocida como Wicked Panda (APT41), Mustang Panda, Dagger Panda ( RedFoxtrot ), Colorful Panda (TA428) y Night Dragon debido al uso compartido de módulos posteriores a la explotación. RAT como PlugX y ShadowPad .

Otras herramientas en su arsenal de malware incluyen Zupdax, Deed RAT, una versión modificada de Gh0st RAT conocida como BH_A006 y MyKLoadClient.

 

Inyecciòn de malware en extensiones de FishPig, afectan a proveedor de integraciones de Magento-WordPress

Magento es una popular plataforma de comercio electrónico de código abierto que se utiliza para crear tiendas electrónicas y respalda la venta de bienes por valor de decenas de miles de millones de dólares al año. 

Los piratas informáticos inyectaron código malicioso en License.php, un archivo que valida las licencias en los complementos premium de FishPig, que descarga un binario de Linux ("lic.bin") de los servidores de FishPig ("license.fishpig.co.uk").

El binario es Rekoobe, un troyano de acceso remoto (RAT) que se ha visto en el pasado eliminado por el rootkit de Linux ' Syslogk '.

Al iniciar desde la memoria, Rekoobe carga su configuración, elimina todos los archivos maliciosos y asume el nombre de un servicio del sistema para dificultar su detección.

Eventualmente, Rekoobe permanece inactivo y espera comandos de un servidor de comando y control (C2) basado en Letonia que los investigadores de Sans ubicaron en 46.183.217.2.

 

Patch Day SAP – Septiembre 2022

En el martes de parches de septiembre del 2022 SAP publicó 7 nuevos  avisos de seguridad para sus productos, de los cuales: 3 son de Severidad Alta y 4 de Severidad Media. Además, se incluyen 6 actualizaciones abordadas anteriormente.

  • CVE-2022-35292 [CVSS: 7.8]. Windows Unquoted Service Path issue in SAP Business One
  • CVE-2022-39014 [CVSS: 7.7].Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (CMC)
  • CVE-2022-39801 [CVSS: 7.1]. Insufficient Firefighter Session Expiration in SAPGRCAccess Control Emergency Access Management
  • CVE-2022-35295 [CVSS: 6.7]. Privilege Escalation Vulnerability in SAPOSCol on Unix
  • CVE-2022-35298 [CVSS: 6.1]. Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal (KMC)
  • CVE-2022-39799 [CVSS: 6.1]. Cross-Site Scripting (XSS) vulnerability in SAP NetWeaverASABAP (SAPGUIfor HTML within the Fiori Launchpad)
  • CVE-2022-35294 [CVSS: 5.4]. Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Application Server ABAP

Patch Tuesday de septiembre de Microsoft corrige 63 vulnerabilidades

En su actualización programada para el martes de parches de septiembre del 2022, Microsoft  informó  63 correcciones de seguridad. Del total de vulnerabilidades 5 son catalogadas como Críticas y corresponden a fallas de ejecución de código remoto en diversos productos.

De las 63 CVE parcheadas por Microsoft en el Patch Tuesday de septiembre, 5 son clasificadas como Críticas y  58 clasificadas como Importantes. Esto no incluye las  16  actualizaciones de Microsoft Edge Chromium.

  • 18 Vulnerabilidades de elevación de privilegios
  • 1 Vulnerabilidades de omisión de funciones de seguridad
  • 30 vulnerabilidades de ejecución remota de código
  • 7 vulnerabilidades de divulgación de información
  • 7 Vulnerabilidades de denegación de servicio
  • 16 Edge: vulnerabilidades de Chromium

 

Nuevas vulnerabilidades en Cisco afectan al IOS XR

Cisco ha publicado 3 nuevos avisos de seguridad que contienen 3 vulnerabilidades  de severidad Media. Estas fallas afectan a distintas versiones de Cisco IOS XR.

  • CVE-2022-20849 [CVSS: 6.1]
  • Vulnerabilidad de denegación de servicio en Cisco IOS XR Software Gateway de red de banda ancha PPP sobre Ethernet
  • CVE-2022-20845 [CVSS: 6.0]
  • Vulnerabilidad de denegación de servicio de Cisco Network Convergence System 4000 Series TL1
  • CVE-2022-20846 [CVSS: 4.3]
  • Vulnerabilidad de denegación de servicio del Cisco Discovery Protocol del software Cisco IOS XR

 

Palo Alto informa recientes fallas de seguridad

Palo Alto ha publicado 4 avisos de seguridad, de los cuales 1 es categorizado con riesgo Medio y 3 de carácter informativo.

Las fallas de seguridad afectan al producto Agente Cortex XDR de la marca Palo Alto.

  • CVE-2022-0029 [CVSS v3.1: 5.5]
  • Cortex XDR Agent: Improper Link Resolution Vulnerability When Generating a Tech Support File
  • CVE-2022-28199 [CVSS v3.1: 0]
  • Informational: PAN-OS: Impact of the NVIDIA Dataplane Development Kit (DPDK) Vulnerability CVE-2022-28199
  • PAN-SA-2022-0005
  • Informational: Cortex XDR Agent: Product Disruption by Local Windows Administrator
  • PAN-SA-2022-0004
  • Informational: Cortex XDR Agent: Allow List is Visible to Low Privileged Users

Vulnerabilidad afecta al Hypervisor de Citrix

Citrix ha publicado un nuevo aviso de seguridad  que afecta a Citrix Hypervisor, la falla contempla 1 vulnerabilidad de severidad Alta y que afecta a la disponibilidad del sistema.

  • CVE-2020-35498 [CVSS 3.x: 7.5]

 

Ataque de Ingeniería Social provoca infiltración en la red de Uber

Durante el día 15 de septiembre del presente año, se levantó la noticia públicamente de que la empresa Uber habría sido afectada por un ataque ejecutado aparentemente por un joven de 18 años, en donde se lograron accesos ilegítimos a un gran número de plataformas organizacionales de diferente relevancia, pudiendo acceder a datos financieros, plataformas de administración y de comunicaciones internas, siendo éste el segundo caso de vulneraciones recibidas por esta compañía, a diferencia que en la primera ocasión, realizaron el pago de la extorsión y se mantuvo en estricto silencio durante un par de años.

De acuerdo a algunas fuentes la “Ingeniería Social” es un conjunto de técnicas que usan los cibercriminales para engañar a los usuarios incautos para que les envíen datos confidenciales, infecten sus computadoras con malware o abran enlaces a sitios infectados. En el Caso de la operación que se evidencio en Uber, el actor de amenaza logró el accesos a la infraestructura tecnológica de la compañía  con el envío de múltiples notificaciones push durante al menos una hora al empleado afectado. 

Según los investigadores de Uber el atacante, logró efectuar la operación de ingeniería social, haciéndose pasar por personal de Uber IT y le dijo al empleado afectado que “si quería que los mensajes pararan debía aceptar, el empleado aceptó y el atacante pudo agregar su dispositivos a la configuración de confianza de la VPN”, logrando infiltrarse. Una vez dentro de la red, el atacante efectuó escaneo de toda la infraestructura, lo que le permitió encontrar  un recurso compartido con scripts en Powershell, uno de ellos contenía unas credenciales de administrador para Thycotic (PAM), desde ahí pudieron pivotear a otras plataformas sensibles.

 

Las nuevas actualizaciones del BIOS de Lenovo corrigen errores de seguridad en cientos de modelos

Según el fabricante chino de computadoras Lenovo ha emitido un aviso de seguridad para advertir sobre varias vulnerabilidades de BIOS de alta gravedad que afectan a cientos de dispositivos en los distintos modelos (Escritorio, All in One, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation, ThinkSystem).

La explotación de las fallas puede dar lugar a la divulgación de información, la escalada de privilegios, la denegación de servicio y, en determinadas circunstancias, la ejecución de código arbitrario. Las vulnerabilidades notificadas son las siguientes:

  • CVE-2021-28216 : se corrigió la falla del puntero en TianoCore EDK II BIOS (implementación de referencia de UEFI), lo que permite a un atacante elevar los privilegios y ejecutar código arbitrario.
  • CVE-2022-40134 : falla de fuga de información en SMI Set Bios Password SMI Handler, lo que permite a un atacante leer la memoria SMM.
  • CVE-2022-40135 : Vulnerabilidad de fuga de información en el controlador SMI de Smart USB Protection, que permite a un atacante leer la memoria SMM.
  • CVE-2022-40136 : falla de fuga de información en SMI Handler utilizada para configurar los ajustes de la plataforma sobre WMI, lo que permite a un atacante leer la memoria SMM.
  • CVE-2022-40137 : Desbordamiento de búfer en el controlador WMI SMI, lo que permite a un atacante ejecutar código arbitrario.
  • Mejoras de seguridad de American Megatrends (sin CVE).

 

Más de 280,000 sitios de WordPress atacados usando la vulnerabilidad de día cero del complemento WPGateway

WPGateway es un medio para que los administradores del sitio instalen, respalden y clonen complementos y temas de WordPress desde un tablero unificado. 

El indicador más común de que un sitio web que ejecuta el complemento se ha visto comprometido es la presencia de un administrador con el nombre de usuario "rangex".

Además, la aparición de solicitudes a "//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1" en los registros de acceso es una señal de que el sitio de WordPress ha sido atacado utilizando la falla, aunque no implica necesariamente una violación exitosa.

 

El nuevo spin-off de PsExec permite a los piratas eludir las defensas de seguridad de la red

PsExec está diseñado para ayudar a los administradores a ejecutar procesos de forma remota en las máquinas de la red sin necesidad de instalar un cliente.

Basándose en la biblioteca de Impacket, los investigadores de Pentera , una empresa que proporciona una solución de validación de seguridad automatizada, han creado una implementación de la herramienta PsExec que se ejecuta solo en el puerto 135.

Este logro trae cambios al juego de defensa, ya que bloquear solo el puerto 445 para restringir la actividad maliciosa de PsExec ya no es una opción confiable para la mayoría de los ataques.

La variación de PsExec de Pentera utiliza una conexión RPC que permitió a los investigadores crear un servicio que ejecuta un comando arbitrario sin comunicarse a través del puerto SMB 445 para transporte o salida.

A diferencia del PsExec original en la suite Sysinternals, la variante de Pentera tiene una mayor probabilidad de pasar desapercibida en una red, dijo Lazar a BleepingComputer, porque muchas organizaciones vigilan el puerto 445 y SMB.

 

Vulnerabilidad Apex One RCE de Trend Micro  explotada activamente

Apex One  es una plataforma de seguridad de punto final que brinda a las empresas detección de amenazas automatizada y respuesta contra herramientas maliciosas, malware y vulnerabilidades.

Segun los investigadores de la firma de seguridad, la validación incorrecta de algunos componentes utilizados por el mecanismo de reversión en los clientes de Trend Micro Apex One y Trend Micro Apex One como servicio, podría permitir que un administrador del servidor de Apex One indique a los clientes afectados que descarguen un paquete de reversión no verificado, lo que podría conducir a la ejecución remota de código.

Los CVES Asociados a esta vulnerabilidades corresponden a los siguientes:

  • Esta falla (CVE-2022-40139) permite a los atacantes ejecutar código arbitrario de forma remota en sistemas que ejecutan software sin parches.
  • (CVE-2022-40144), permite a los posibles atacantes eludir la autenticación al falsificar los parámetros de solicitud en las instalaciones afectadas.

La explotación de este tipo de vulnerabilidades generalmente requiere que un atacante tenga acceso (físico o remoto) a una máquina vulnerable. Sin embargo, aunque una explotación puede requerir que se cumplan varias condiciones específicas, Trend Micro recomienda encarecidamente a los clientes que actualicen a las últimas compilaciones tan pronto como sea posible.

 

Nueva vulnerabilidad de Microsoft Teams almacena tokens de autenticación como texto sin cifrar en Windows, Linux, Mac

Microsoft Teams es una plataforma de comunicación, incluida en la familia de productos 365, utilizada por más de 270 millones de personas para intercambiar mensajes de texto, realizar videoconferencias y almacenar archivos. 

La vulnerabilidad recientemente encontrada en esta aplicación permite a los atacantes acceso a tokens de autenticación y cuentas con la autenticación multifactor (MFA) activada, que afecta las versiones de la aplicación para Windows, Linux y Mac.

La mayor preocupación es que esta falla sea abusada por malware que roba información y que se ha convertido en uno de los payloads más comúnmente distribuidos en campañas de phishing.

Al usar este tipo de malware, los actores de amenazas podrán robar tokens de autenticación de Microsoft Teams e iniciar sesión de forma remota como el usuario, sin pasar por MFA y obtener acceso completo a la cuenta.

Los ladrones de información ya están haciendo esto para otras aplicaciones, como Google Chrome, Microsoft Edge, Mozilla Firefox, Discord y muchas más

Dado que es poco probable que se publique un parche, la recomendación de Vectra es que los usuarios cambien a la versión del navegador del cliente de Microsoft Teams. Al usar Microsoft Edge para cargar la aplicación, los usuarios se benefician de protecciones adicionales contra fugas de tokens.

Los investigadores aconsejan a los usuarios de Linux que cambien a una suite de colaboración diferente, especialmente desde que Microsoft anunció planes para dejar de admitir la aplicación para la plataforma en diciembre.

Para aquellos que no pueden pasar a una solución diferente inmediatamente, pueden crear una regla de monitoreo para descubrir procesos que acceden a los siguientes directorios:

[Windows] %AppData%\Microsoft\Teams\Cookies

[Windows] %AppData%\Microsoft\Teams\Almacenamiento local\leveldb

[macOS] ~/Biblioteca/Soporte de aplicaciones/Microsoft/Teams/Cookies

[macOS] ~/Biblioteca/Soporte de aplicaciones/Microsoft/Teams/Almacenamiento local/leveldb

[Linux] ~/.config/Microsoft/Microsoft Teams/Cookies

[Linux] ~/.config/Microsoft/Microsoft Teams/Almacenamiento local/leveldb

 

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 19 al 25 de Septiembre de 2022:

Objetivos observados durante semana de análisis: 

  • Gobierno
  • Infraestructura tecnológica
  • Petróleo
  • Energía
  • Banca y Finanzas
  • Servicios varios
  • Seguros
  • Retail y servicios de consumo
  • Tecnología
  • Salud

  • Gobierno
  • Instituciones 
  • Banca y Finanzas
  • Energía
  • Infraestructura tecnológica
  • Petróleo

 

  • Educación
  • Salud
  • Cadena de Suministros

 

  • Organizaciones sin fines de lucro
  • Servicios de salud, sociales y farmacia.
  • Servicios legales y profesionales

 

  • Agua
  • Construcción e inmobiliaria
  • Entretenimiento, cultura y arte
  • Industrias manufactureras, materiales y minería
  • Servicios empresariales y comercio
  • Shipment y cadena de suministros
  • Transportes y servicios automotrices.
  • Turismo, hoteles y restaurantes

 

 

ENTEL Weekly Threat Intelligence Brief del 05 al 11 de Septiembre de 2022

Nuevas vulnerabilidades en Cisco afectan al IOS XR

Ataque de Ingeniería Social provoca infiltración en la red de Uber

 

 

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
  • Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
  • Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #Ransomware #APT #Malware #Vulnerabilidad #Exploit #Phishing


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.