ENTEL Weekly Threat Intelligence Brief del 26 de septiembre al 02 de octubre de 2022

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Alerta de Seguridad Cibernética: Ransomware en el Poder Judicial.
• Se filtró el “builder” LockBit 3.0 utilizado por la banda de ransomware 'Bl00dy' en los ataques.
• Múltiples ataques de Ransomware la semana anterior a países de América Latina.
• Actividad de ransomware Lockbit a nivel global y regional.
• El grupo Lazarus de Corea del Norte apuntan a usuarios de macOS interesados ​​​​en trabajos criptográficos.
• Lazarus abusa del error del controlador de Dell utilizando el nuevo rootkit FudModule.
• APT41 continúa apuntando a la atención médica y farmacéutica.
• Los ciberactores APT28 utilizan el truco del mouseover de PowerPoint para infectar sistemas con malware.
• Nuevo malware hace backdoors en servidores VMware ESXi para secuestrar máquinas virtuales.
• Nueva campaña de malware NullMixer que roba los datos de pago y las credenciales de los usuarios.
• Investigadores advierten sobre nuevo malware basado en Go dirigido a sistemas Windows y Linux.
• Vulnerabilidades en IOS y Switches de Cisco.
• Cisco publica múltiples vulnerabilidades para sus productos.
• MICROSOFT EXCHANGE: Nuevos Zero-Day están siendo explotados.
• CISA advierte sobre los piratas informáticos que explotan la vulnerabilidad crítica del servidor Bitbucket de Atlassian.

• Alerta de Seguridad Cibernética: Ransomware en el Poder Judicial

El Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile, CSIRT de Gobierno, compartió el lunes 26 de septiembre de 2022, indicadores de compromiso y una descripción del comportamiento del ransomware LockBit Black, el que afectó al Poder Judicial.

El análisis de la muestra de LockBit Black permitió esclarecer cómo se produce la infección del ransomware.

El archivo bat 123.cmd realiza una llamada al archivo ejecutable externo injector.exe. Este archivo contiene dos parámetros: el parámetro -e, que realiza la llamada a un archivo de sistema denominada rdpclip.exe; y el parámetro -d, el cual convoca a una biblioteca de enlaces dinámicos llamada lbb.dll. La biblioteca lbb.dll realiza la llamada a otras bibliotecas de enlaces dinámicos con el propósito de hacer las cargas dentro del sistema para la realización de la encriptación.

El análisis realizado a la muestra permitió encontrar el ransomware dentro la biblioteca lbb.dll y no en el ejecutable injector.exe, el cual en este caso solo fue un vector de lanzamiento para la inyección de la biblioteca.

El ransomware utiliza el objeto “rootDSE” para establecer una conexión con el active directory. Al obtener el atributo puede enlazar al dominio infectado para así autoreplicarse.

• Se filtró el “builder” LockBit 3.0 utilizado por la banda de ransomware 'Bl00dy' en los ataques

El relativamente nuevo Bl00Dy Ransomware Gang ha comenzado a utilizar un generador de ransomware LockBit recientemente filtrado en ataques contra empresas.

La semana pasada, el generador de ransomware LockBit 3.0 se filtró en Twitter después de que el operador de LockBit tuviera una pelea con su desarrollador. Este builder permite que cualquier persona construya un cifrador y descifrador completamente funcional que los actores de amenazas pueden usar para los ataques.

Como el builder incluye un archivo de configuración que se puede personalizar fácilmente para usar diferentes notas de rescate, servidores de estadísticas y características se predice que otros actores de amenazas pronto usarían el constructor para crear su propio ransomware.

Desafortunadamente, nuestras predicciones se han hecho realidad, y un grupo de ransomware relativamente nuevo llamado 'Bl00Dy Ransomware Gang' ya ha utilizado el constructor en un ataque a una entidad ucraniana.

• Múltiples ataques de Ransomware la semana anterior a países de América Latina.

En la última semana la región se vio afectada por múltiples ataques de ransomwares afectando a Chile, Paraguay y Guatemala.  Para nuestro País la amenaza detectada fue el ransomware Lockbit el cual  ha estado activamente atacando a la región durante el mes de septiembre ya habiendo afectado a Brasil, Colombia, México, Chile, Ecuador, Venezuela, Costa Rica y Perú.

Para paraguay la amenaza detectada fue el ransomware avoslocker el cual es una familia de ransomware relativamente nueva, que está aumentando sus ataques mientras adopta nuevas tácticas para evadir el software de seguridad. Observado por primera vez aproximadamente hace 1 año, habría mejorado sus técnicas de ataques así como aquellas destinadas a explotar vulnerabilidades que sirvieran de vector de entrada.

En Guatemala se vio afectado el ministerio de de relaciones exteriores por el ransomware VSOP (Onyx), Onyx ransomware fue identificado inicialmente por investigadores a mediados de abril de 2022. El grupo de ransomware utiliza la técnica de doble extorsión para apuntar a sus víctimas, donde extrae los datos de la víctima y luego los cifra. Si la víctima no puede pagar el rescate, los Threat Actors (TA) filtran los datos de la víctima en su sitio de fuga.

• Actividad de ransomware Lockbit a nivel global y regional.

Actualmente Lockbit es un grupo de Ransomware altamente experimentado que lidera el ranking con mayor cantidad de víctimas alrededor del mundo de forma histórica y mensual, el cual actualmente ha mostrado una alta presencia en LATAM durante el mes de septiembre, hecho que se ha vuelto cada vez más habitual, pero no menos riesgoso.

Esta organización altamente sofisticada mantiene un total histórico de aproximadamente 1.200 víctimas desde el inicio de su actividad con la primera variante, superando con creces a ransomware CONTI de origen ruso que se mantuvo liderando este ranking hasta que fue dado de baja debido a presiones políticas, quien en su registro histórico logró afectar a aproximadamente 850 organizaciones.

• Lazarus de Corea del Norte apuntan a usuarios de macOS interesados ​​​​en trabajos criptográficos

El Grupo Lazarus ha continuado con su patrón de aprovechar oportunidades laborales no solicitadas para implementar malware dirigido al sistema operativo macOS de Apple.

En la última variante de la campaña observada por la empresa de seguridad cibernética SentinelOne la semana pasada, se han utilizado documentos señuelo que anuncian posiciones para la empresa de intercambio de criptomonedas Crypto[.]com, con sede en Singapur, esto con el objeto de montar los ataques.

La última divulgación se basa en hallazgos anteriores de la empresa de ciberseguridad eslovaca ESET en agosto, que profundizó en una publicación de trabajo falsa similar para la plataforma de intercambio de criptomonedas Coinbase.

Estos dos anuncios de trabajo falsos son solo los últimos de una serie de ataques denominados “Interception Operation”, que a su vez, es un componente de una campaña más amplia rastreada bajo el nombre "Operation Dream Job".

Aunque se desconoce el vector de distribución exacto del malware, se sospecha que los objetivos potenciales se señalan a través de mensajes directos en el sitio de redes empresariales LinkedIn.

• Lazarus abusa del error del controlador de Dell utilizando el nuevo rootkit FudModule

Se vio al grupo de piratas informáticos de Corea del Norte 'Lazarus' instalando un rootkit de Windows que abusa de un controlador de hardware de Dell en un ataque de Traiga su propio controlador vulnerable.

La campaña de spear-phishing se desarrolló en el otoño de 2021 y los objetivos confirmados incluyen un experto aeroespacial en los Países Bajos y un periodista político en Bélgica.

Según ESET, que publicó hoy un informe sobre la campaña, el objetivo principal era el espionaje y el robo de datos.

• APT41 continúa apuntando a la atención médica y farmacéutica

El sector de la salud ha sido un objetivo favorito para los ciberdelincuentes, especialmente desde que estalló la pandemia. El Departamento de Salud y Servicios Humanos ha estado publicando alertas para que las entidades de atención médica las sigan para mantenerse a salvo de ataques cibernéticos dañinos. En una de esas últimas alertas, el departamento advierte contra los ataques de un actor de amenazas patrocinado por el estado chino.

APT41 es el actor de amenazas chino conocido por apuntar a las industrias farmacéutica y de alta tecnología, junto con la atención médica. El grupo aprovecha el spear-phishing, los abrevaderos, las puertas traseras y los ataques a la cadena de suministro para obtener acceso a la red.

Además, la alerta indica que el grupo ha estado utilizando capturas de pantalla de registro de teclas, inyección de código, conexión y consulta de bases de datos SQL, robo de datos del portapapeles y descarga de archivos. 

APT41 implementa múltiples programas maliciosos privados y públicos para establecer un punto de apoyo y herramientas personalizadas para aumentar los privilegios.

• Los ciberactores APT28 utilizan el truco del mouseover de PowerPoint para infectar sistemas con malware.

Se descubrió que el actor de amenazas patrocinado por el estado ruso conocido como APT28 aprovecha un nuevo método de ejecución de código que utiliza el movimiento del mouse en documentos señuelo de Microsoft PowerPoint para implementar malware.

La técnica "está diseñada para activarse cuando el usuario inicia el modo de presentación y mueve el mouse", dijo la firma de ciberseguridad Cluster25 en un informe técnico. "La ejecución del código ejecuta un script de PowerShell que descarga y ejecuta un “dropper” comentan desde OneDrive".

El “dropper”, un archivo de imagen aparentemente inofensivo funciona como una vía para una carga útil de seguimiento, una variante de un malware conocido como Graphite, que usa Microsoft Graph API y OneDrive para comunicaciones de comando y control (C2) para recuperar información adicional. cargas útiles

El ataque emplea un documento señuelo que hace uso de una plantilla potencialmente vinculada a la Organización para la Cooperación y el Desarrollo Económicos ( OCDE ), una entidad intergubernamental con sede en París.

• Nuevo malware hace backdoors en servidores VMware ESXi para secuestrar máquinas virtuales

Los piratas informáticos han encontrado un nuevo método para establecer la persistencia en los hipervisores VMware ESXi para controlar los servidores vCenter y las máquinas virtuales para Windows y Linux mientras evitan la detección.

Con la ayuda de paquetes de instalación maliciosos de vSphere, el atacante pudo instalar en el hipervisor básico dos puertas traseras que los investigadores han llamado VirtualPita y VirtualPie.

Los investigadores también descubrieron una muestra de malware única a la que llamaron VirtualGate, que incluye un “dropper” y una carga útil (Payload).

• Nueva campaña de malware NullMixer que roba los datos de pago y las credenciales de los usuarios

Los ciberdelincuentes continúan aprovechándose de los usuarios que buscan software descifrado al dirigirlos a sitios web fraudulentos que alojan instaladores armados que implementan malware llamado NullMixer en sistemas comprometidos.

"Cuando un usuario extrae y ejecuta NullMixer, arroja una cantidad de archivos de malware a la máquina comprometida", dijo la firma de seguridad cibernética Kaspersky. "Lanza una amplia variedad de binarios maliciosos para infectar la máquina, como puertas traseras, banqueros, descargadores, spyware y muchos otros".

Además de desviar las credenciales de los usuarios, la dirección, los datos de la tarjeta de crédito, las criptomonedas e incluso las cookies de sesión de la cuenta de Facebook y Amazon, lo que hace que NullMixer sea insidioso es su capacidad para descargar docenas de troyanos a la vez, lo que amplía significativamente la escala de las infecciones.

Las cadenas de ataque generalmente comienzan cuando un usuario intenta descargar software descifrado de uno de los sitios, lo que conduce a un archivo protegido con contraseña que contiene un archivo ejecutable que, por su parte, descarga y ejecuta un segundo binario de configuración diseñado para entregar una variedad de archivos maliciosos.

Estos sitios web maliciosos aprovechan las técnicas de envenenamiento de optimización de motores de búsqueda (SEO), como el relleno de palabras clave, para destacarlos en los resultados de los motores de búsqueda. Los actores detrás de las campañas de GootLoader y SolarMarker han adoptado tácticas similares.

NullMixer, el mes pasado, se vinculó a la distribución de una extensión maliciosa de Google Chrome llamada FB Stealer, que es capaz de robar credenciales de Facebook y sustituir motores de búsqueda.

• Investigadores advierten sobre nuevo malware basado en Go dirigido a sistemas Windows y Linux

Un nuevo malware multifuncional basado en Go denominado Chaos ha crecido rápidamente en volumen en los últimos meses para atrapar una amplia gama de Windows, Linux, enrutadores de oficinas pequeñas/hogares (SOHO) y servidores empresariales en su red de bots.

"La funcionalidad Chaos incluye la capacidad de enumerar el entorno del host, ejecutar comandos de shell remotos, cargar módulos adicionales, propagarse automáticamente mediante el robo y la fuerza bruta de claves privadas SSH, así como lanzar ataques DDoS", dijeron investigadores de Black Lotus Labs.

La mayoría de los bots están ubicados en Europa, específicamente en Italia, con otras infecciones reportadas en China y EE. UU., que representan colectivamente "cientos de direcciones IP únicas" durante un período de un mes desde mediados de junio hasta mediados de julio de 2022.

Escrito en chino y aprovechando la infraestructura basada en China para comando y control, el botnet se une a una larga lista de malware que está diseñado para establecer la persistencia durante períodos prolongados y probablemente abusar del punto de apoyo para fines nefastos, como ataques DDoS y minería de criptomonedas.

En todo caso, el desarrollo también apunta a un aumento dramático en los actores de amenazas que cambian a lenguajes de programación como Go para evadir la detección y dificultar la ingeniería inversa, sin mencionar que apuntan a varias plataformas a la vez.

Chaos (que no debe confundirse con el generador de ransomware del mismo nombre) hace honor a su nombre al explotar las vulnerabilidades de seguridad conocidas para obtener acceso inicial, y luego abusar de él para realizar un reconocimiento e iniciar un movimiento lateral a través de la red comprometida.

• Vulnerabilidades en IOS y Switches de Cisco

Cisco ha publicado 2 avisos de seguridad que contienen 5 vulnerabilidades todas clasificadas con Severidad Media. Estas fallas afectan a Cisco IOS, Cisco Switches, entre otros.

Entre los riesgos de una explotación exitosa podría permitir al atacante eludir la separación de VLAN y potencialmente también eludir cualquier mecanismo de protección de Capa 3 que se implemente.

También, la explotación de estas vulnerabilidades podría permitir que un atacante adyacente eluda las funciones de seguridad de primer salto (FHS) configuradas en los productos de Cisco afectados.

Las vulnerabilidades no dependen unas de otras, no se requiere la explotación de una para explotar otra vulnerabilidad. Además, es posible que una versión de software que se vea afectada por una de las fallas no se vea afectada por las otras.

• Cisco publica múltiples vulnerabilidades para sus productos

Cisco ha publicado 21 nuevos avisos de seguridad que contienen 22 vulnerabilidades, de las cuales 14 son de severidad Alta y 8 de severidad Media. Estas fallas afectan a distintas versiones de Cisco IOS XE, Cisco vManage, Cisco SD-WAN, entre otros.

• MICROSOFT EXCHANGE: ¡Nuevos Zero-Day están siendo explotados!

Una nueva vulnerabilidad crítica de MS Exchange (2013, 2016 y 2019) está siendo explotada activamente por actores maliciosos, los cuales mediante dos vulnerabilidades Zero-Day permiten acceder al servidor de correo electrónico para cargar backdoors para posterior movimiento lateral y webshells que luego son utilizadas para ejecutar comandos de forma remota. Si bien aún no cuenta con parche oficial distribuido por la marca, existen medidas mitigatorias para prevenir este ataque, las cuales deben ser aplicadas sobre la última actualización disponible.

Es ampliamente conocido que el servicio de correo electrónico de Microsoft es utilizado alrededor del mundo, por lo que ha sido blanco de múltiples ataques en el último tiempo que lo han llevado a ser un elemento crítico dentro de la seguridad de la organización. La data ahí alojada suele tener un alto valor para las organizaciones sabiendo que, esta es una vía oficial para comunicaciones internas de diferente criticidad, en donde además podemos encontrar un completo registro de las direcciones de correo de los colaboradores que allí prestan servicios que pudiesen ser utilizados posteriormente para comunicaciones fraudulentas o entrega de cargas útiles maliciosas mediante el ya conocido phishing.

Además de lo anterior, es altamente factible que actores de amenazas creen cuentas de usuarios nuevas en donde tengan su propio acceso al servidor y no mediante la utilización de cuentas de terceros, lo que podría ser utilizado para evasión de detección.

• CISA advierte sobre los cyber-actores maliciosos que explotan la vulnerabilidad crítica del servidor Bitbucket de Atlassian

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés) agregó el viernes una falla crítica recientemente revelada que afecta el servidor Bitbucket y el centro de datos de Atlassian al catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ), citando evidencia de explotación activa.

El problema, rastreado como CVE-2022-36804 , se relaciona con una vulnerabilidad de inyección de comandos que podría permitir a los actores maliciosos obtener la ejecución de código arbitrario en instalaciones susceptibles mediante el envío de una solicitud HTTP especialmente diseñada.

Sin embargo, la explotación exitosa depende del requisito previo de que el atacante ya tenga acceso a un repositorio público o posea permisos de lectura para un repositorio privado de Bitbucket.

"Todas las versiones de Bitbucket Server y Datacenter lanzadas después de la 6.10.17, incluida la 7.0.0 y posteriores, se ven afectadas, lo que significa que todas las instancias que ejecutan cualquier versión entre 7.0.0 y 8.3.0 inclusive se ven afectadas por esta vulnerabilidad", señaló Atlassian. en un aviso de finales de agosto de 2022.

CISA no proporcionó más detalles sobre cómo se explota la falla y qué tan extendidos son los esfuerzos de explotación, pero GreyNoise dijo que detectó evidencia de abuso en estado salvaje el 20 y 23 de septiembre de 2022.

Como contramedidas, todas las agencias de la Rama Ejecutiva Civil Federal (FCEB) deben remediar las vulnerabilidades antes del 21 de octubre de 2022, para proteger las redes contra amenazas activas.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 03 al 09 de Octubre del 2022.

Objetivos observados durante la semana de análisis: 

• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Construcción e inmobiliaria
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Retail y servicios de consumo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Servicios legales y profesionales
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo
• Infraestructura tecnológica - Componentes

DEFCON 1

• Banca y Finanzas
• Construcción e inmobiliaria
• Gobierno
• Servicios de salud, sociales y farmacia
• Infraestructura tecnológica - Componentes

DEFCON 2

• Industrias manufactureras, materiales y minería
• Shipment y cadena de suministros

DEFCON 3

• Retail y servicios de consumo
• Servicios empresariales y comercio
• Servicios legales y profesionales
• Transportes y servicios automotrices.

DEFCON 4

• Entretenimiento, cultura y arte
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfíe de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.