ENTEL Weekly Threat Intelligence Brief del 2 al 6 de noviembre de 2022

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• La banda de Ransomware Lockbit 3.0 afirma robar datos de la empresa francesa de tecnología Thales.
• Snatch Ransomware se adjudica haber atacado a proveedor militar HENSOLDT Francia.
• Ataques de Black Basta Ransomware despliegan herramientas de evasión de EDR vinculadas al actor de la amenaza FIN7.
• Cientos de sitios de noticias de EE. UU. usados para introducir malware en un ataque a la cadena de suministro.
• Observatorio ALMA cierra operaciones por ciberataque.
• El ransomware LockBit afirma haber atacado al gigante automotriz de Continental.
• Los actores OPERA1ER APT apuntaron a docenas de organizaciones financieras en África, Asia y LATAM.
• Grupo Cranefly  abusa de Logs IIS legítimos para distribuir malware.
• Nuevo Malware Crimson King Snake suplanta firmas de abogados para ataques BEC.
• El nuevo software espía SandStrike infecta dispositivos Android a través de una aplicación VPN maliciosa. 
• Falsificación de sitios web asociados a Google para GIMP.org, permiten implantar malware para robar información
• Malware LODEINFO implantado tras abuso de los DLL software de seguridad. 
• Docenas de paquetes PyPI atrapados arrojando malware de robo de información 'W4SP. 
• La botnet Emotet comienza a lanzar malware nuevamente después de un descanso de 4 meses. 
• Drinik Malware compromete a 18 bancos indios.
• Nuevas caracteristicas del malware Infostealer Racoon V2.
• La nueva botnet Fotcha DDoS  agrega la extorsión a su arsenal de ataque.
• Microsoft corrige una falla crítica de RCE que afecta a Azure Cosmos DB.
• OpenSSL corrige dos vulnerabilidades de alta gravedad, lo que necesita saber.
• Investigadores descubren detalles de RCE crítico “CosMiss” afectando cosmos DB de Azure.
• VMWare alerta de exploits para reciente vulnerabilidad de NSX-V.
• Fatiga de MFA es real y puede ser la siguiente tendencia en vulnerabilidades.
• CISA advierte sobre vulnerabilidades críticas en 3 software de sistemas de control industrial.
• Múltiples vulnerabilidades reportadas en el software de monitoreo de infraestructura de TI Checkmk. 

El grupo de Ransomware Lockbit 3.0 afirma robar datos de la empresa francesa de tecnología Thales

Thales es una empresa de tecnología líder a nivel mundial que se dedica a las innovaciones digitales y tecnología profunda (big data, inteligencia artificial, conectividad, ciberseguridad y cuántica). 

Se confirmó que fue agregada a la lista de víctimas del grupo de Ransomware Lockbit 3.0 el 31 de octubre. A lo que la compañía agregó que ha iniciado una investigación sobre la supuesta violación de seguridad, también notificó a la agencia nacional de seguridad cibernética francesa ANSSI.

Snatch Ransomware se adjudica haber atacado a proveedor militar HENSOLDT Francia

HENSOLDT Francia es una empresa que presta una amplia gama de productos y servicios electrónicos críticos, orientados a los sectores:  aeronáutico, de defensa, energético y de transporte, ya sea para aplicaciones aéreas, navales o terrestres, tanto en Francia como en el extranjero.

Esta empresa fue agregada a la lista de víctimas del grupo de ransomware Snatch el cual publicó en su sitio de fugas Tor los 94 MB de datos robados como prueba del hackeo. 

El ransomware Snatch se detectó por primera vez a fines de 2019, los investigadores de Sophos descubrieron una parte del ransomware Snatch que reinicia las computadoras que infecta en modo seguro para evitar las soluciones de seguridad residentes.

Los actores OPERA1ER APT apuntaron a docenas de organizaciones financieras en África, Asia y LATAM

El grupo de actores de habla francesa OPERA1ER (a.k.a DESKTOP-GROUP, Common Raven, and NXSMS) que permanece operativo desde 2016, ha sido vinculado a una serie de ataques a entidades bancarias, financieras y compañías de telecomunicaciones entre África, Asia y Latinoamérica en los periodos de 2018 a 2022 sustrayendo cerca de USD$11 millones principalmente mediante herramientas Open source o malware disponible de forma gratuita en Deep y Dark web.

Además de sus motivaciones financieras, este grupo exfiltra data para posteriormente ser utilizada en campañas de spear-phishing.

Grupo Cranefly abusa de Logs IIS legitimos para distribuir malware
 

Grupo Cranefly  (aka UNC3524) identificado desde Diciembre de 2019 ha sido visualizado usando técnicas nunca antes vistas para enviar comandos a backdoors instaladas en las víctimas, utilizando los registros del servidor web de Microsoft IIS para eludir tecnologías de seguridad.

Una vez ha instalado su dropper Troja.Geppei en la víctima, puede enviar comandos al servidor IIS mediante solicitudes aparentemente válidas a url existentes o con error 404, de forma que se registren en los Logs del servidor IIS mientras que el troyano desplegado con anterioridad, lee estos registros, interpreta los comandos y luego los ejecuta en el sistema.

Nuevo Malware Crimson Kingsnake suplanta firmas de abogados para ataques BEC

Los ataques tipo Business Email Compromise (BEC), son de los ataques más sencillos que un ciber actor pueda implementar, ya que consiste en hacer uso de la ingeniería social o engaño del factor humano para conseguir persuadir a la víctima a efectuar pagos supuestamente legítimos. La técnica hace uso de mails fraudulentos que forman parte de una conversación o cadena de correos en los que se incluye alguna factura a pagar, y en los cuales suplantan a una empresa con la que la con la que la compañía de la víctima ya tenga relación comercial. En este caso Crimson Kingsnake hace uso de ésta técnica haciéndose pasar por firmas de bufetes de abogados internacionales conocidas,  para engañar a los destinatarios para que aprueben pagos de facturas vencidas. 

Los actores de la amenaza se hacen pasar por abogados que envían facturas por pagos atrasados ​​de servicios supuestamente prestados a la firma receptora hace un año, lo cual crea un enfoque  sólido para el ataque BEC, ya que los destinatarios pueden sentirse intimidados al recibir correos electrónicos de grandes bufetes de abogados como los que se hacen pasar por las estafas.

Se sabe que éste grupo comenzó a operar en marzo de 2022, con dominios vinculados a sitios de bufetes de abogados genuinos y usan el enfoque typosquatting para permitir  a los actores de BEC enviar correos electrónicos a las víctimas a través de una dirección que parece auténtica a primera vista.

Los correos electrónicos contienen los logotipos y membretes de las entidades suplantadas y están elaborados profesionalmente, con una escritura puntual.

Algunos de los bufetes de abogados comprometidos corresponden a:

• allen y overy
• Clifford oportunidad
• Deloitte
• Dentones
• Eversheds Sutherland
• Colinas libres de Herbert Smith
• hogan lovells
• Kirkland y Ellis
• lindsay hart
• Bufete de abogados Manix
• monlex internacional
• morrison foerster
• Simmons y Simmons
• Sullivan y Cromwell

El nuevo software espía SandStrike infecta dispositivos Android a través de una aplicación VPN maliciosa

Según varias fuentes, se ha descubierto una nueva campaña de software espía a través de aplicaciones Android VPN aparentemente inofensivas.

La campaña se rastreó bajo el nombre de SandStrike, sin embargo, según la firma rusa de ciberseguridad Kaspersky, no se ha atribuido aún a ningún grupo de amenazas en particular. 

El foco de los ataques, está orientado a víctimas de habla persa, con el fin  de acceder a recursos sobre la religión bahá’í que están prohibidos en Irán, según señalan los investigadores.  

La aplicación aparentemente está diseñada para proporcionar a las víctimas una conexión VPN para eludir la prohibición, la misma implanta un spyware configurado para desviar de forma encubierta datos de los dispositivos de las víctimas, como registros de llamadas, contactos e incluso conectarse a un servidor remoto para ejecutar comandos adicionales. 

Este malware según varias fuentes está siendo distribuido a las víctimas a través de canales de Telegram controlados por los ciberactores así mismo a través de diversas cuentas de redes sociales.  

De acuerdo a diversas fuentes el malware  SandStrike comenzó a operar  en abril de 2021, sin embargo, en septiembre se asoció a una plataforma de malware recientemente descubierta denominada Metatron, utilizada contra empresas de telecomunicaciones, proveedores de servicios de Internet y universidades de África y Oriente Medio.

Falsificación de sitios web asociados a Google para GIMP.org, permiten implantar malware para robar información

De acuerdo a algunas fuentes, recientemente se ha descubierto un anuncio similar al dominio del del conocido editor de gráficos, GNU Image Manipulation Program (GIMP), que proporciona a las víctimas un enlace de a un sitio web de phishing similar que proporciona un ejecutable de 700 MB disfrazado de GIMP que despliega un implante de malware que parecía una utilidad de GIMP para Windows. 

La técnica usada por los atacantes corresponde a  homógrafo de IDN que haría que "gіmp.org" en cirílico o un idioma derivado del griego, que en realidad es http://xn--gmp-jhd.org/, pareciera similar al latín "gimp.org".

De acuerdo a investigaciones, Google permite a los editores crear anuncios con dos URL diferentes: una URL de visualización que se mostrará en el anuncio y una URL de aterrizaje a la que se llevará realmente al usuario.

No es necesario que ambas sean iguales, pero existen políticas estrictas en torno a lo que se permite cuando se trata de URL de visualización, y éstas deben utilizar el mismo dominio que la URL de aterrizaje.

Según los investigadores de BleepingComputer, se confirma que la campaña asociada a la falsificación del dominio GIMP.org, corresponde a un troyano de robo de información llamado VIDA, que funcionan conectándose a un servidor de mando y control (C2) para la posterior ejecución de instrucciones adicionales.

Malware LODEINFO implantado tras abuso de software de seguridad 

Según la firma de seguridad  rusa Kaspersky, se ha observado que el grupo organizado  de ciberactores llamado CICADA rastreado como APT10, está apuntando a organizaciones japonesas de índole diplomático, organizaciones gubernamentales y del sector público, así como a grupos de expertos en Japón, para usar su spyware LODEINFO. 

Este malware ha sido rastreado desde el año 2019, y se conoce que los actores de amenaza constantemente tienen miras a mejorar sus tácticas de infección y backdoors para evadir las detecciones.

Microsoft corrige una falla crítica de RCE que afecta a Azure Cosmos DB 

Investigadores identificaron  una vulnerabilidad en la base de datos de Azure, la cual permite la lectura y escritura por parte de usuarios no autenticados debido a carencias en la carencia de comprobación de autenticación  pudiendo modificar un contenedor, si tenían el UUID del espacio de trabajo del Notebook Júpiter.

El problema de seguridad se encuentra en el notebook Júpiter incorporado en Azure Cosmos DB que se integran en el portal de Azure y en las cuentas de Azure Cosmos DB para consultar, analizar y visualizar los datos y resultados con mayor facilidad.

Si bien este hallazgo es reciente, mediante investigaciones en profundidad investigadores detectaron que esta condición mantenía larga data e incluso los datos se encuentran indexados en sitios web de análisis de Buckets, pudiendo ser visualizados por cualquiera que tuviese las suscripciones necesarias.

OpenSSL corrige dos vulnerabilidades de alta gravedad, lo que necesita saber 

El proyecto OpenSSL en su versión 3.0, utilizado para brindar comunicaciones cifradas y conexiones HTTPS, ha corregido dos vulnerabilidades de alta criticidad que podrían permitir la ejecución remota de código (RCE) y denegación de servicio por desbordamiento de buffer.

Si bien algunos investigadores lo han relacionado con Log4J, el impacto y exposición de servidores con OpenSSL 3.0 y posteriores es radicalmente reducido, sin embargo abarca gran cantidad de marcas y productos, principalmente cloud, que utilizan esta característica de cifrado para sus comunicaciones seguras.

Desde microsoft también han lanzado su propio comunicado alertando y brindando herramientas a sus clientes sobre cómo identificar si sus instancias se encuentran vulnerables.

• CVE-2022-3602 (CVSS 7.5)
• CVE-2022-3786 (CVSS 7.5)

VMWare alerta de exploits para reciente vulnerabilidad de NSX-V

Recientemente se identificó la existencia de un exploit utilizado activamente para la explotación de una vulnerabilidad crítica de 2021 (CVE-2021-39144 - CVSS3.0 9.8) que permite la ejecución de código remoto (RCE) en todas las versiones del producto vSphere (NSX-V), la cual se encuentra al final de su vida util, y que sin embargo pese a esta condición, VMWare igualmente ha lanzado un parche para mitigar esta vulnerabilidad junto a otras correcciones importantes.

• CVE-2021-39144 (CVSS 8.5)

Fatiga de MFA es real y puede ser la siguiente tendencia

Recientemente se ha detectado un nuevo método de ataque para sobrepasar restricciones de MFA en accesos, y que tal como sucedió en el reciente ataque a UBER, este se basa en la fatiga de solicitudes apelando a la  ingeniería social, de forma que si el actor maliciosos cuenta con una credencial y una contraseña válida para algún acceso este no será válido si no se cuenta con el segundo factor de autenticación, es por esto que atacantes generan una gran cantidad de solicitudes enviadas directamente a usuario que constan en aceptar o rechazar el acceso, el que si bien inicialmente puede ser rechazado por la víctima, luego de innumerables solicitudes estas pueden ser aceptadas por error o simplemente para que el teléfono deje de sonar por las incesables solicitudes, de esta forma el actor malicioso logra el acceso a la plataforma.

CISA advierte sobre vulnerabilidades críticas en 3 software de sistemas de control industrial 

Como es común, CISA periódicamente advierte sobre vulnerabilidades críticas en distintas tecnologías, esta vez enfocándose en sistemas de control industrial ofrecidos por marcas como ETIC Telecom, Nokia y Delta industrial automation que permiten obtener información sensible y comprometer los equipos vulnerables u otras máquinas en la red por lo que se recomienda parchar a la brevedad posible.

• ETIC Telecom:
  • CVE-2022-3703 (CVSS 9.0)
  • CVE-2022-41607 (CVSS 8.6)
  • CVE-2022-40981 (CVSS 8.3)
• Nokia 5G
  • CVE-2022-2482 (CVSS 8.4)
  • CVE-2022-2483 (CVSS 8.4)
  • CVE-2022-2484 (CVSS 8.4)
• Delta Industrial Automation
  • CVE-2022-2969 (CVSS 8.1)

Múltiples vulnerabilidades reportadas en el software de monitoreo de infraestructura de TI Checkmk 

La herramienta de monitorización Checkmk ofrece integraciones para la visualización y generación de mapas topológicos de infraestructuras, servidores, puertos y procesos han sido recientemente vinculada con 4 vulnerabilidades que podria ser utilizadas secuencialmente para que un atacante remoto no autenticado pueda generar ejecución remota de código (RCE).

Estas vulnerabilidades cuentan con sus parches disponibles por lo que es importante aplicarlas a la brevedad.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 07 al 13 de Noviembre de 2022.

Objetivos observados durante semana de análisis: 

• Banca y Finanzas
• Construcción e inmobiliaria
• Defensa y orden público
• Servicios legales y profesionales
• Educación
• Agricultura, ganadería, silvicultura y pesca - consumo
• Entretenimiento, cultura y arte
• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Retail y servicios de consumo
• Organizaciones sin fines de lucro
• Gobierno
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Petróleo
• Turismo, hoteles y restaurantes
• Transportes y servicios automotrices.

• Banca y Finanzas
• Construcción e inmobiliaria
• Servicios legales y profesionales
• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Infraestructura tecnológica - Componentes
• Organizaciones sin fines de lucro
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Transportes y servicios automotrices.

• Retail y servicios de consumo
• Petróleo
• Shipment y cadena de suministros

• Agricultura, ganadería, silvicultura y pesca - consumo
• Servicios básicos y sanitarios

• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Turismo, hoteles y restaurantes

El Centro de Ciberinteligencia de Entel Ciber Secure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC 's en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de mal spam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (Appdata, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.