El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
El grupo de Ransomware Lockbit 3.0 afirma robar datos de la empresa francesa de tecnología Thales
Thales es una empresa de tecnología líder a nivel mundial que se dedica a las innovaciones digitales y tecnología profunda (big data, inteligencia artificial, conectividad, ciberseguridad y cuántica).
Se confirmó que fue agregada a la lista de víctimas del grupo de Ransomware Lockbit 3.0 el 31 de octubre. A lo que la compañía agregó que ha iniciado una investigación sobre la supuesta violación de seguridad, también notificó a la agencia nacional de seguridad cibernética francesa ANSSI.
Snatch Ransomware se adjudica haber atacado a proveedor militar HENSOLDT Francia
HENSOLDT Francia es una empresa que presta una amplia gama de productos y servicios electrónicos críticos, orientados a los sectores: aeronáutico, de defensa, energético y de transporte, ya sea para aplicaciones aéreas, navales o terrestres, tanto en Francia como en el extranjero.
Esta empresa fue agregada a la lista de víctimas del grupo de ransomware Snatch el cual publicó en su sitio de fugas Tor los 94 MB de datos robados como prueba del hackeo.
El ransomware Snatch se detectó por primera vez a fines de 2019, los investigadores de Sophos descubrieron una parte del ransomware Snatch que reinicia las computadoras que infecta en modo seguro para evitar las soluciones de seguridad residentes.
Los actores OPERA1ER APT apuntaron a docenas de organizaciones financieras en África, Asia y LATAM
El grupo de actores de habla francesa OPERA1ER (a.k.a DESKTOP-GROUP, Common Raven, and NXSMS) que permanece operativo desde 2016, ha sido vinculado a una serie de ataques a entidades bancarias, financieras y compañías de telecomunicaciones entre África, Asia y Latinoamérica en los periodos de 2018 a 2022 sustrayendo cerca de USD$11 millones principalmente mediante herramientas Open source o malware disponible de forma gratuita en Deep y Dark web.
Además de sus motivaciones financieras, este grupo exfiltra data para posteriormente ser utilizada en campañas de spear-phishing.
Grupo Cranefly abusa de Logs IIS legitimos para distribuir malware
Grupo Cranefly (aka UNC3524) identificado desde Diciembre de 2019 ha sido visualizado usando técnicas nunca antes vistas para enviar comandos a backdoors instaladas en las víctimas, utilizando los registros del servidor web de Microsoft IIS para eludir tecnologías de seguridad.
Una vez ha instalado su dropper Troja.Geppei en la víctima, puede enviar comandos al servidor IIS mediante solicitudes aparentemente válidas a url existentes o con error 404, de forma que se registren en los Logs del servidor IIS mientras que el troyano desplegado con anterioridad, lee estos registros, interpreta los comandos y luego los ejecuta en el sistema.
Nuevo Malware Crimson Kingsnake suplanta firmas de abogados para ataques BEC
Los ataques tipo Business Email Compromise (BEC), son de los ataques más sencillos que un ciber actor pueda implementar, ya que consiste en hacer uso de la ingeniería social o engaño del factor humano para conseguir persuadir a la víctima a efectuar pagos supuestamente legítimos. La técnica hace uso de mails fraudulentos que forman parte de una conversación o cadena de correos en los que se incluye alguna factura a pagar, y en los cuales suplantan a una empresa con la que la con la que la compañía de la víctima ya tenga relación comercial. En este caso Crimson Kingsnake hace uso de ésta técnica haciéndose pasar por firmas de bufetes de abogados internacionales conocidas, para engañar a los destinatarios para que aprueben pagos de facturas vencidas.
Los actores de la amenaza se hacen pasar por abogados que envían facturas por pagos atrasados de servicios supuestamente prestados a la firma receptora hace un año, lo cual crea un enfoque sólido para el ataque BEC, ya que los destinatarios pueden sentirse intimidados al recibir correos electrónicos de grandes bufetes de abogados como los que se hacen pasar por las estafas.
Se sabe que éste grupo comenzó a operar en marzo de 2022, con dominios vinculados a sitios de bufetes de abogados genuinos y usan el enfoque typosquatting para permitir a los actores de BEC enviar correos electrónicos a las víctimas a través de una dirección que parece auténtica a primera vista.
Los correos electrónicos contienen los logotipos y membretes de las entidades suplantadas y están elaborados profesionalmente, con una escritura puntual.
Algunos de los bufetes de abogados comprometidos corresponden a:
El nuevo software espía SandStrike infecta dispositivos Android a través de una aplicación VPN maliciosa
Según varias fuentes, se ha descubierto una nueva campaña de software espía a través de aplicaciones Android VPN aparentemente inofensivas.
La campaña se rastreó bajo el nombre de SandStrike, sin embargo, según la firma rusa de ciberseguridad Kaspersky, no se ha atribuido aún a ningún grupo de amenazas en particular.
El foco de los ataques, está orientado a víctimas de habla persa, con el fin de acceder a recursos sobre la religión bahá’í que están prohibidos en Irán, según señalan los investigadores.
La aplicación aparentemente está diseñada para proporcionar a las víctimas una conexión VPN para eludir la prohibición, la misma implanta un spyware configurado para desviar de forma encubierta datos de los dispositivos de las víctimas, como registros de llamadas, contactos e incluso conectarse a un servidor remoto para ejecutar comandos adicionales.
Este malware según varias fuentes está siendo distribuido a las víctimas a través de canales de Telegram controlados por los ciberactores así mismo a través de diversas cuentas de redes sociales.
De acuerdo a diversas fuentes el malware SandStrike comenzó a operar en abril de 2021, sin embargo, en septiembre se asoció a una plataforma de malware recientemente descubierta denominada Metatron, utilizada contra empresas de telecomunicaciones, proveedores de servicios de Internet y universidades de África y Oriente Medio.
Falsificación de sitios web asociados a Google para GIMP.org, permiten implantar malware para robar información
De acuerdo a algunas fuentes, recientemente se ha descubierto un anuncio similar al dominio del del conocido editor de gráficos, GNU Image Manipulation Program (GIMP), que proporciona a las víctimas un enlace de a un sitio web de phishing similar que proporciona un ejecutable de 700 MB disfrazado de GIMP que despliega un implante de malware que parecía una utilidad de GIMP para Windows.
La técnica usada por los atacantes corresponde a homógrafo de IDN que haría que "gіmp.org" en cirílico o un idioma derivado del griego, que en realidad es http://xn--gmp-jhd.org/, pareciera similar al latín "gimp.org".
De acuerdo a investigaciones, Google permite a los editores crear anuncios con dos URL diferentes: una URL de visualización que se mostrará en el anuncio y una URL de aterrizaje a la que se llevará realmente al usuario.
No es necesario que ambas sean iguales, pero existen políticas estrictas en torno a lo que se permite cuando se trata de URL de visualización, y éstas deben utilizar el mismo dominio que la URL de aterrizaje.
Según los investigadores de BleepingComputer, se confirma que la campaña asociada a la falsificación del dominio GIMP.org, corresponde a un troyano de robo de información llamado VIDA, que funcionan conectándose a un servidor de mando y control (C2) para la posterior ejecución de instrucciones adicionales.
Malware LODEINFO implantado tras abuso de software de seguridad
Según la firma de seguridad rusa Kaspersky, se ha observado que el grupo organizado de ciberactores llamado CICADA rastreado como APT10, está apuntando a organizaciones japonesas de índole diplomático, organizaciones gubernamentales y del sector público, así como a grupos de expertos en Japón, para usar su spyware LODEINFO.
Este malware ha sido rastreado desde el año 2019, y se conoce que los actores de amenaza constantemente tienen miras a mejorar sus tácticas de infección y backdoors para evadir las detecciones.
Microsoft corrige una falla crítica de RCE que afecta a Azure Cosmos DB
Investigadores identificaron una vulnerabilidad en la base de datos de Azure, la cual permite la lectura y escritura por parte de usuarios no autenticados debido a carencias en la carencia de comprobación de autenticación pudiendo modificar un contenedor, si tenían el UUID del espacio de trabajo del Notebook Júpiter.
El problema de seguridad se encuentra en el notebook Júpiter incorporado en Azure Cosmos DB que se integran en el portal de Azure y en las cuentas de Azure Cosmos DB para consultar, analizar y visualizar los datos y resultados con mayor facilidad.
Si bien este hallazgo es reciente, mediante investigaciones en profundidad investigadores detectaron que esta condición mantenía larga data e incluso los datos se encuentran indexados en sitios web de análisis de Buckets, pudiendo ser visualizados por cualquiera que tuviese las suscripciones necesarias.
OpenSSL corrige dos vulnerabilidades de alta gravedad, lo que necesita saber
El proyecto OpenSSL en su versión 3.0, utilizado para brindar comunicaciones cifradas y conexiones HTTPS, ha corregido dos vulnerabilidades de alta criticidad que podrían permitir la ejecución remota de código (RCE) y denegación de servicio por desbordamiento de buffer.
Si bien algunos investigadores lo han relacionado con Log4J, el impacto y exposición de servidores con OpenSSL 3.0 y posteriores es radicalmente reducido, sin embargo abarca gran cantidad de marcas y productos, principalmente cloud, que utilizan esta característica de cifrado para sus comunicaciones seguras.
Desde microsoft también han lanzado su propio comunicado alertando y brindando herramientas a sus clientes sobre cómo identificar si sus instancias se encuentran vulnerables.
VMWare alerta de exploits para reciente vulnerabilidad de NSX-V
Recientemente se identificó la existencia de un exploit utilizado activamente para la explotación de una vulnerabilidad crítica de 2021 (CVE-2021-39144 - CVSS3.0 9.8) que permite la ejecución de código remoto (RCE) en todas las versiones del producto vSphere (NSX-V), la cual se encuentra al final de su vida util, y que sin embargo pese a esta condición, VMWare igualmente ha lanzado un parche para mitigar esta vulnerabilidad junto a otras correcciones importantes.
Fatiga de MFA es real y puede ser la siguiente tendencia
Recientemente se ha detectado un nuevo método de ataque para sobrepasar restricciones de MFA en accesos, y que tal como sucedió en el reciente ataque a UBER, este se basa en la fatiga de solicitudes apelando a la ingeniería social, de forma que si el actor maliciosos cuenta con una credencial y una contraseña válida para algún acceso este no será válido si no se cuenta con el segundo factor de autenticación, es por esto que atacantes generan una gran cantidad de solicitudes enviadas directamente a usuario que constan en aceptar o rechazar el acceso, el que si bien inicialmente puede ser rechazado por la víctima, luego de innumerables solicitudes estas pueden ser aceptadas por error o simplemente para que el teléfono deje de sonar por las incesables solicitudes, de esta forma el actor malicioso logra el acceso a la plataforma.
CISA advierte sobre vulnerabilidades críticas en 3 software de sistemas de control industrial
Como es común, CISA periódicamente advierte sobre vulnerabilidades críticas en distintas tecnologías, esta vez enfocándose en sistemas de control industrial ofrecidos por marcas como ETIC Telecom, Nokia y Delta industrial automation que permiten obtener información sensible y comprometer los equipos vulnerables u otras máquinas en la red por lo que se recomienda parchar a la brevedad posible.
Múltiples vulnerabilidades reportadas en el software de monitoreo de infraestructura de TI Checkmk
La herramienta de monitorización Checkmk ofrece integraciones para la visualización y generación de mapas topológicos de infraestructuras, servidores, puertos y procesos han sido recientemente vinculada con 4 vulnerabilidades que podria ser utilizadas secuencialmente para que un atacante remoto no autenticado pueda generar ejecución remota de código (RCE).
Estas vulnerabilidades cuentan con sus parches disponibles por lo que es importante aplicarlas a la brevedad.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 07 al 13 de Noviembre de 2022.
Objetivos observados durante semana de análisis:
ENTEL Weekly Threat Intelligence Brief del 24 de octubre al 02 de noviembre de 2022 |
El Centro de Ciberinteligencia de Entel Ciber Secure recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
Tipo | Indicador |
---|---|
Snatch | . |
hash | bf5f4d7b6ef1fdb903677e4ede0... |
Blackbasta | . |
hash | d943a4aabd76582218fd1a9a0a7... |
hash | dc56a30c0082145ad5639de4437... |
hash | d144b61c0626989039aa5eb56bd... |
hash | cce74c82a718be7484abf7c5101... |
hash | c532d28f9700abba1a4803c3a9d... |
hash | affcb453760dbc48b39f8d4defb... |
hash | 449d87ca461823bb85c18102605... |
hash | 15abbff9fbce7f5782c16547759... |
hash | a083060d38984e7c6f36dcd2c57... |
Grupo Cranefly | . |
hash | 12eaac1b8dc29ba29287e7e30c8... |
hash | 981b28d7521c5b02f026cb1ba52... |
hash | 6dcfa79948cf90b10b05b59237c... |
hash | 0af8bf1fa14fe492de1cc870ac0... |
hash | 7d5018d823939a181a84e7449d1... |
hash | b5a4804cf7717fda1f01f23c1c2... |
hash | 1975bea7ca167d84003b601f0df... |
hash | 56243c851b13218d3031ca7e5af... |
hash | 0b8d024ec29619ff499e4b5024f... |
hash | 0b168638224589937768eb15c9e... |