ENTEL Weekly Threat Intelligence Brief del 07 al 13 de noviembre de 2022

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

Ransomware

• Yanluowang ransomware detiene sus operaciones luego de leaks internos
• Operadores de LockBit arrestados en Canadá
• Mayor afiliado de Netwalker ransomware arrestado en Canadá
• Conti no se detiene, podria estar detras de BlackByte y Black Basta 

APT

• Se identifican lazos entre Black Basta y FIN7
• Campañas masivas de phishing atacando a clientes de bancos de India

Malware

• Amadey Bot distribuyendo LockBit 3.0
• Campañas masivas de phishing se dirigen a clientes de bancos en la India 
• Campañas de  Kiss-a-Dog  apuntan a Docker y Kubernetes para Criptomineria
• Nuevo malware StrelaSealer roba cuentas de Outlook y Thunderbird
• Vultur Android Malware
• Nueva variante de malware IceXLoader activamente distribuida
• Amadey Bot distribuyendo Lockbit 3.0
• AgentTesla es el malware con mayor actividad
   

Vulnerabilidades

• Vulnerabilidad en plugin Blog2Social de WordPress
• VMware soluciona tres vulnerabilidades críticas
• Nuevas vulnerabilidades críticas afectan Citrix ADC y Citrix Gateway
• Siemens soluciona vulnerabilidades críticas
• Abuso de ataques a API propone nuevos retos de seguridad

Yanluowang ransomware detiene sus operaciones luego de leaks internos

Una cuenta anónima de Twitter (@yanluowangleaks) que actualmente se encuentra suspendida, ha publicado una serie de dataleak interno de este grupo de ransomware compuesto principalmente por sus conversaciones de chat, causando que sus operaciones hayan sido detenidas inmediatamente.

En este dataleak se revela parte de sus operaciones y se liberan dudas de su procedencia, ya que inicialmente existían sospechas de que fuesen operados desde China, sin embargo resultaron ser de origen ruso.

Operadores de LockBit arrestados en canadá

Luego de  una investigación de dos años, dos operadores de Lockbit fueron identificados y arrestados en Ontario, Canadá siendo deportados a Estados Unidos, acusados de haber sido partícipes del ataque de cientos de ataques de ransomware.

Mayor afiliado de Netwalker ransomware arrestado en Canada

La Policía de Canadá logró el arresto de un hombre de 33 años bajo el alias User ID 128, acusado de ser uno de los mayores afiliados del ransomware Netlwalker, siendo encontrado con cerca de 700.000 USD en efectivo y cerca de 21.000.000 USD en Bitcoin.

Junto con su arresto  se ha dado de baja servidores que podrían llevar al cese de operaciones del grupo de ransomware.

Conti no se detiene, podria estar detras de BlackByte y Black Basta 

Luego de las presiones de EE. UU. a Rusia para la búsqueda y captura de operadores de ransomware Conti, estos detuvieron sus operaciones tras la supuesta captura de algunos de sus integrantes, de forma que esta agrupación vinculada con el gobierno ruso, ha movido sus operaciones para trabajar con ransomware Black Byte y Black Basta, siendo este último, vinculado con el grupo FIN7 operado desde Rusia.

Se identifican lazos entre Black Basta y FIN7

Recientemente, mediante el análisis de las herramientas y métodos de ataques utilizados por actores de amenaza, se ha podido vincular al grupo BLack Basta utilizando TTP´s y herramientas propietarias de Fin7 como SocksBot; a la vez que, estos últimos han utilizado herramientas como Carbanak para evasión de tecnologías de seguridad, que se habían visualizado sólo mediante ataques de Black basta, por lo tanto, parece existir un trabajo de colaboración, más aún cuando recientemente se les ha vinculado colaborando con los integrantes  del ex grupo Conti.

Ante esto se infiere un grupo de colaboración con un gran potencial y expertiz, que podría comprometer a un elevado grupo de víctimas en un tiempo cercano.

Campañas masivas de phishing atacando a clientes de Bancos de India

Recientemente se ha identificado un grupo de malware llamadas Elibomi, FakeReward, AxBanker, IcRAT e IcSpy de diferente complejidad y grado de desarrollo, realizando ataques de phishing a clientes bancarios de la India, en donde algunos de ellos han resurgido con nuevas actualizaciones, luego de que sus primeras versiones han sido detectadas desde el año 2020.

Cabe destacar que algunas de estas familias como AxBanker se propaga como falsas aplicaciones de banco, IcRAT e IcSpy son herramientas de control de acceso remoto utilizadas para el mismo objetivo.

Amadey Bot distribuyendo LockBit 3.0

Amadey es un malware alojado en documentos ofimáticos o que simulan serlo, distribuido en campañas de phishing y que sirve para la propagación de nuevas amenazas una vez logrado el acceso inicial, siendo recientemente visualizada como parte del despliegue de Ransomware Lockbit 3.0, grupo que se mantiene como los más activos y con mayor cantidad de víctimas históricas, debido a su amplia red de colaboradores y sofisticación en las operaciones.

Campañas de  Kiss-a-Dog  apuntan a Docker y Kubernetes para Criptomineria

La criptomería se ha implantado como una nueva forma de monetizar ataques debido a la constante adopción de esta tecnología en el mundo, la que brinda capacidades de anonimato sin precedentes y es lo que el malware Kiss-a-dog ha estado aprovechando para atacar servidores docker y kubernetes vulnerables alojados en la nube, desplegando la herramienta de código abierto XMRig, la cual ha sido altamente utilizada por otras campañas de malware como Lemon Duck.

Es importante mencionar que XMRig es una herramienta completamente legítima que ha sido mal utilizada por actores maliciosos para monetizar sus campañas, aprovechando costos operacionales y capacidades de procesamiento de sus víctimas.

Nuevo malware StrelaSealer roba cuentas de Outlook y Thunderbird

Dentro del listado de Infostealers, se suma la reciente aparición de StrelaStealer, la cual se enfoca principalmente en la sustracción de credenciales de correos electrónicos, sin embargo al igual que sus pares, esta roba credenciales guardadas en navegadores, servicios, aplicaciones, portapapeles e incluso de billeteras de criptomonedas para generar un drenado de fondos.

Pese a que el actuar de los infostealer es relativamente similar entre unos y otros, Strelastaler se centra en leer los registros de windows para obtener las claves de software y extraer las credenciales cifradas, que posterior a su procesamiento permite filtrarlas en texto plano.

Vultur Android Malware 

Recientemente se ha identificado al malware Vultur, el cual está siendo descargado como carga útil (payload) por aplicaciones que abusan de validaciones de librerías de software, como Play Store, esto objeto propagar contenido malicioso que mediante esteganografía, eliminación de archivos y ofuscación de código, permite que los actores de amenaza tomen control total del dispositivo, dirigiendo sus ataques principalmente al secuestro de cuentas bancarias para llevar a cabo fraude.

Nueva variante de malware IceXLoader activamente distribuida

Una campaña de phishing en curso ha infectado a miles de usuarios domésticos y corporativos con una nueva versión del malware 'IceXLoader', un cargador de malware descubierto por primera vez en junio del año 2022 por FortiGuard Labs, este  se vende por $118 USD en foros clandestinos, con una licencia de por vida.

Este malware se emplea como acceso inicial principalmente para descargar y ejecutar malware adicional en los hosts infectados.

AgentTesla es el malware con mayor actividad

Según datos proporcionados por CheckPoint, cerca del 16% de sus detecciones maliciosas se encuentran vinculadas a Infostealers, en donde AgentTesla, resulta la variante que actualmente presenta mayor actividad abarcando cerca de un 7% de esta misma cifra.

Cabe destacar que la actividad de este malware cuenta con larga data, siendo de relevancia global, situándose como uno de los infostealers más  activos hasta el momento junto a Formbook.

Vulnerabilidad en plugin Blog2Social de WordPress

Un  reciente hallazgo ha informado sobre una vulnerabilidad en el plugin de WordPress llamado Blog2Social, permite a usuarios autenticados con mínimos permisos (como suscriptores), generar cambios en las configuraciones del plugin mediante la capacidad de habilitar el modo legacy, el cual solo debiese encontrarse habilitado para administradores; pero que, debido a una protección deficiente brinda esta capacidad a los atacantes.

Se sabe que este plugin es utilizado por cerca de 70.000 sitios wordpress para facilitar interacción con redes sociales. 

• CVE-2022-3622 - CVSS4.7

VMware soluciona tres vulnerabilidades críticas 

Se han liberado tres vulnerabilidades para el producto Workspace ONE assist de VMware, que permite a atacantes remotos saltarse autenticaciones para obtener privilegios de administrador.

Esta solución provee capacidades de control remoto, compartimentaje de pantalla y documentos, además de la ejecución remota de comandos para facilitar las labores del área de soporte, lo cual brinda elevadas capacidades a aquellos actores maliciosos que exploten esta serie de vulnerabilidades.

Cabe destacar que ya existen pruebas de concepto para esta vulnerabilidad, sin embargo la tecnología ya cuenta con los respectivos parches que mitigan el riesgo.

• CVE-2022-31685 (authentication bypass) - CVSS 9.8
• CVE-2022-31686 (broken authentication method) - CVSS 9.8
• CVE-2022-31687 (broken authentication control) - CVSS 9.8

Nuevas vulnerabilidades críticas afectan Citrix ADC y Citrix Gateway

Recientemente se ha identificado una serie de vulnerabilidades que afectan a los servicios de Citrix y que permiten el acceso a la red organizacional mediante diferentes fallas que permiten generar un bypass a la autenticación para acceder al servicio de VPN, mientras que validaciones insuficientes en la autenticidad de los datos permitirá obtener concesiones por RDP, mediante ataques de phishing a los usuarios.

Además debido a carencias en el sistema de autenticación, un atacante podría acceder a servicios VPN mediante ataques de fuerza bruta, sin embargo puede ser mitigada fácilmente mediante la limitación del número máximo de autenticaciones incorrectas.

• CVE-2022-27510 - CVSSv3: 9.8
• CVE-2022-27513 - CVSSv3: 9.8
• CVE-2022-27516 - CVSSv3: 5.3

Para mayores antecedentes, visitar siguiente enlace: Vulnerabilidades en Citrix afectan a productos Gateway y ADC

Siemens soluciona vulnerabilidades críticas 

Siemens recientemente ha lanzado un comunicado en donde se alerta de una serie de vulnerabilidades para múltiples productos y tecnologías, todas ellas con diferentes grados de criticidad, sin embargo, las de mayor criticidad permiten la ejecución remota de código (RCE) y la suplantación de identidad mediante un almacenamiento deficiente de credenciales en texto plano en las bases de datos.

Para mayores antecedentes, visitar siguiente enlace: Nuevas Vulnerabilidades afectan a productos Siemens

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias Chilenas, para la semana del 14 al 20 de Noviembre de 2022:

Objetivos observados durante semana de análisis: 

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

• Industrias manufactureras, materiales y minería
• Servicios empresariales y comercio

• N/A

• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica
• Transportes y servicios automotrices.

• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel Ciber Secure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC 's en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de mal spam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (Appdata, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.