ENTEL Weekly Threat Intelligence Brief del 14 al 20 de noviembre de 2022

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Nueva Ramsonware Somnia usado en ataques a organizaciones de Ucrania
• Escuelas del condado de Michigan, detiene actividades por ataque de Ransomware
• Ransomware Hive, extorcionó a más de 1.300 empresas en todo el mundo con pagos de rescate
• Lockbit ransomware compromete a la empresa de cosmética Amend de Brasil
• LV ransomware ataca empresa mexicana automotriz Unitedauto.
• El grupo de espionaje cibernético Worok abusa de la API de Dropbox para filtrar datos.
• Billbug APT se infiltra en la autoridad de certificación (CA) para firmar su malware.
• Nuevo Malware KmsdBot, es lanzado como bot evasivo para criptomeria y ataques DDoS.
• Nueva campaña de malware compromete sitios web de WordPress para direccionar a usuarios a formularios falsos. 
• Malware Batloader con funcionalidad de cuentagotas para entrega de carga selectiva.
• Nueva campaña del Malware RapperBot apunta a servidores de juegos con ataques DDos.
• Se descubre actualización del nuevo cripto minero  Malware llamado Typhon Reborn.
• Malware polimórfico llamado W4SP Stealer, distribuido a través de paquetes de python.
• Versiones actualizadas de LodaRack malware se están implementando junto con otras familias de malware para reducir detenciones. 
• StrelaStealer, nueva familia de InfoStealer.
• Múltiples vulnerabilidades de seguridad en plataforma CRM permiten la inyección SQL.
• Una vulnerabilidad de Amazon RDS permite publicar en la web copias de seguridad de bases de datos.
• Jenkins publica nuevo aviso de seguridad con múltiples vulnerabilidades.
• F5 publica nuevas vulnerabilidades que afectan a BIG-IP y BIG-IQ.
• Atlassian corrige un error crítico de inyección de comandos en Bitbucket Server.

Nueva Ramsonware Somnia usado en ataques a organizaciones de Ucrania
Somnia es llamado el nuevo ransomware que se a identificado en los ataque recientes a organizaciones ucranianas, según los investigadores del gobierno de ucrania CERT-UA, la banda a la que se atribuye el ataque corresponde al grupo ruso From Russia With Love (FRwL), también conocido como Z-Team.

Como parte de la investigación, se descubrió que el compromiso inicial de éste ataque se produjo como resultado de la descarga y el lanzamiento de un archivo que imitaba el software "Advanced IP Scanner", pero en realidad contenía el malware Vidar.

Según los investigadores los ciberactores tras obtener acceso remoto a la red informática de cada organización a través de una VPN, procedieron a  realizar tareas de reconocimiento (en concreto, utilizando Netscan), lanzando el programa Cobalt Strike Beacon y también efectuaron tareas de exfiltración de datos, como demuestra el uso del programa Rсlone. Además, hay indicios de lanzamiento de Anydesk y Ngrok.

Escuelas del condado de Michigan, detienen actividades por ataque de Ransomware
Durante el Lunes de ésta semana, las escuelas públicas de dos condados de Jackson y Hillsdale, Michigan sufrieron un ataque de ransomware que afectó sus sistemas informáticos críticos que provocó que detuvieran sus actividades. Aún se desconoce el actor de amenazas y las tácticas técnicas y procedimientos empleados.

Ransomware Hive, extorciono a más de 1.300 empresas en todo el mundo con pagos de rescate
Según las autoridades de inteligencia y ciberseguridad de EE.UU, los actores de amenazas detrás del ransomware Hive en modalidad as a service (Rass), han extorsionado hasta noviembre del año en curso a más de 1.300 empresas en todo el mundo de varios niveles, desde infraestructura crítica, incluidas instalaciones gubernamentales, comunicaciones, fabricación, tecnología de la información, hasta, empresas de atención médica privada y pública, recibiendo aproximadamente US$100 millones en pagos de rescate. Las operaciones de éste malware está activa desde junio de 2021, y el grupo utiliza varios métodos de ataque, incluidas campañas de malspam, servidores RDP vulnerables y credenciales de VPN comprometidas.
La principal diferencia entre la nueva variante del malware Hive está relacionada con el lenguaje de programación utilizado por los operadores. Las variantes antiguas se escribieron en el lenguaje Go, mientras que la nueva variante de Hive está escrita en Rust.
La alerta señala que la técnica de la intrusión inicial depende de qué afiliado apunta a la red. Se observó que los actores de amenazas obtuvieron acceso inicial a las redes de las víctimas mediante el uso de inicios de sesión de un solo factor a través del Protocolo de escritorio remoto (RDP), redes privadas virtuales (VPN) y otros protocolos de conexión de red remota. En algunos ataques, el grupo pudo eludir la autenticación multifactor (MFA) y obtuvo acceso a los servidores de FortiOS al explotar la vulnerabilidad CVE-2020-12812 .

El grupo de espionaje cibernético Worok abusa de la API de Dropbox para filtrar datos
Recientemente se ha descubierto una  campaña de ciberespionaje que usa herramientas de Worok para robar datos a través de las cuentas de dropbox registradas en los correos electrónicos activos, el enfoque de esta campaña es a entidades de alto perfil en los sectores públicos y privado en Asia, África y América del Norte. 

De acuerdo a investigaciones  de Avast, para la etapa inicial de esta campaña los ciberatacantes implementan el malware rastreado como CLRLoader, que hace el paso a la carga útil de la siguiente etapa con el malware PNGLoader, que es un cargador que extrae bytes de archivos PNG y los reconstruye en un código ejecutable. PNGLoader es un archivo DLL .NET ofuscado utilizando .NET Reactor; la descripción del archivo proporciona información que imita software legítimo como Jscript Profiler o Transfer Service Proxy.  Los investigadores también descubrieron que la cadena de compromiso también tiene una carga útil de .NET C# que rastrearon como DropBoxControl, lo que representa una tercera etapa. DropboxControl es una puerta trasera de robo de información que comunica abusos del servicio DropBox para la comunicación C2.

Billbug APT se infiltra en la autoridad de certificación (CA) para firmar su malware.
El grupo de ciberespionaje patrocinado por el estado Chino llamado Billbug logró comprometer una entidad de certificaciones digitales (CA) como parte de una campaña de espionaje de amplio alcance que se extendió hasta marzo. 

Este compromiso es notable, ya que si los atacantes pudieran comprometer con éxito la entidad certificadora, podrían usarlos para firmar malware con un certificado válido y ayudar a evitar la detección en las máquinas de las víctimas. según un informe de esta semana de Symantec. También podría potencialmente usar certificados comprometidos para interceptar el tráfico HTTPS.

Nuevo Malware KmsdBot, es lanzado como bot evasivo para criptomeria y ataques DDoS
Según los investigadores de Akamai Security Research, éste malware basado en  Golang, se está empleando en campañas de minería de criptomonedas y para lanzar ataques de denegación de servicio (DDoS). 

Los investigadores han descubierto que el malware está dirigido a múltiples sectores, como la industria del juego, la industria tecnológica y los fabricantes de autos de lujo. El primer ataque DDoS observado por los investigadores de Akamai,  tuvo como objetivo una empresa de juegos llamada FiveM, que permite a los jugadores alojar servidores privados personalizados para Grand Theft Auto Online. El malware empleó ataques específicos dirigidos junto con ataques genéricos de Capa 4 y Capa 7.

El análisis de la muestra de ksmdx revela funciones para realizar operaciones de escaneo, actualizaciones de software y actividades de criptominería.

Una vez que un sistema ha sido infectado por éste malware, el binario ksmdx notifica al C2 que mediante el envío de una solicitud HTTP POST con la notificación de 'Bruh Started:'.

El bot descarga una lista de credenciales de inicio de sesión para utilizarla cuando escanee los puertos SSH abiertos.

Al analizar la actividad de minado de criptomonedas, los expertos observaron que los operadores utilizaban carteras de criptomonedas supuestamente elegidas al azar para contribuir a varios pools de minado. 

El bot implementa su propia funcionalidad para lanzar la actividad de criptominería, sin embargo, en realidad está lanzando un binario xmrig renombrado.

Nueva campaña de malware compromete sitios web de WordPress para direccionar a usuarios a formularios falsos
Según la firma de seguridad Sucuri SiteCheck, se han detectado redireccionamientos en más de 2500 sitios durante septiembre y octubre del 2022, a través de ois[.]is. La redirección de sitios es una técnica ampliamente usada por los atacantes, por lo que no es nada nuevo, es empleada para secuestrar un sitio web con el fin de abusar de sus recursos (especialmente el tráfico y las clasificaciones del sitio web). Lo inusual de esta campaña, es que se descubre que los atacantes están promocionando un puñado de sitios falsos de preguntas y respuestas de baja calidad para engañar a los usuarios y redireccionarlos a sitios maliciosos.

En las muestras del código del malware analizadas por los investigadores, se observó que los archivos mayormente afectados por el malware corresponden a archivos centrales de WordPress, sin embargo, este malware también infecta archivos .php maliciosos creados por otras campañas de malware no relacionadas. 

Dado que el malware se entrelaza con las operaciones centrales de WordPress, la redirección puede ejecutarse en los navegadores de cualquiera que visite el sitio, así mismo, la redirección no se producirá si la cookie wordpress_logged_in está presente, o si la página actual es wp-login.php. Esto se utiliza como una maniobra evasiva para ocultarse de los administradores.

Malware Batloader con funcionalidad de cuentagotas para entrega de carga selectiva
Según los investigadores de VMware Carbon Black,  se ha descubierto un nuevo cargador de malware con  funcionalidades que determinan si se encuentra en un sistema empresarial o en una computadora personal. 

La cadena de infección de Batloader,  inicia a partir del envenenamiento de SEO  para atraer a las víctimas potenciales para que descarguen archivos maliciosos de Microsoft Windows Installer (.msi). Los archivos msi se pueden descargar directamente, a menudo se encuentran en la carpeta /Descargas o se incluyen en un archivo comprimido .zip. Los archivos se hacen pasar por otros instaladores de software legítimos comunes, por ejemplo, zoom.msi, Teamviewer.msi, anydesk.msi, pero en realidad son una copia del creador de PDF gratuito novaPDF. El instalador de novaPDF se edita con la herramienta Instalador avanzado para agregar una acción personalizada de PowerShellScriptInline que ejecuta un script malicioso de PowerShell.

Nueva campaña del Malware RapperBot apunta a servidores de juegos con ataques DDos
Los investigadores de Fortinet FortiGuard Labs han descubierto nuevas muestras del malware RapperBot que se utilizan para crear una red de bots DDoS para atacar servidores de juegos. Esta red de bots según los investigadores está activa desde junio del 2022, y toma el código de la botnet Mirai y le agrega características que permiten obtener credenciales de fuerza bruta y obtener acceso a servidores SSH en lugar de Telnet como se implementó en Mirai además de agregar la capacidad de persistencia.

Se descubre actualización del nuevo cripto minero  Malware llamado Typhon Reborn
Recientemente los investigadores de Unit 42 de Palo Alto Networks, a principios de agosto han descubierto el nuevo malware crypto minero llamado Typhon Stealer, al que se le descubrió una nueva versión más actualizada llamada Typhon Reborn. Ambas versiones tienen la capacidad de robar billeteras criptográficas, monitorear las pulsaciones de teclas en aplicaciones confidenciales y evadir productos antivirus.

Malware polimórfico llamado W4SP Stealer, distribuido a través de paquetes de python 
Los investigadores de Checkmarx descubrieron un ataque continuo a la cadena de suministro realizado por un actor de amenazas que rastrearon como WASP y que está dirigido a los desarrolladores de Python.
En informes recientes de  Phylum  y  Check Point , se detectaron decenas de paquetes PyPI que entregaban el stealer W4SP a los sistemas de los desarrolladores.
Una vez instalado el paquete malicioso, se ejecuta el script setup.py y se despliegan paquetes Python adicionales en el sistema de la víctima, incluyendo judyb, que proporciona utilidades de esteganografía. El script setup.py descarga una imagen .png de Imgur y la guarda en el directorio temporal del sistema operativo.
 

Versiones actualizadas de LodaRack malware se están implementando junto con otras familias de malware para reducir detenciones
Según los investigadores de Cisco Talos, se han descubierto recientemente nuevas versiones del malware LodaRAT, que incluyen Redline y Neshta. Las muestras más recientes de de LodaRAT descubiertas, tienen en la ofuscación de la función de uso salvaje y la codificación de cadenas para evitar que se analicen. Sin embargo, los expertos informaron que hay muchos ejemplos de malware que no están ofuscados, su análisis puede permitir que los actores de amenazas accedan al código original y creen sus propias variantes de LodaRAT. Otra debilidad del malware es la falta de cifrado para las comunicaciones C2, lo que hace que sea trivial implementar una infraestructura C2 personalizada. 

Múltiples vulnerabilidades de seguridad en plataforma CRM permite inyección SQL
Los investigadores de Varonis Threat Labs descubrieron una vulnerabilidad de inyección SQL y una falla de acceso lógico, en Zendesk Explore.

Los investigadores descubrieron que podían usar las fallas para extraer datos de Zendesk Explore, incluida la lista de tablas de la instancia del servicio de base de datos relacional (RDS) de Zendesk, así como toda la información almacenada en la base de datos. Esa información incluía direcciones de correo electrónico de usuarios, oportunidades de ventas, acuerdos de CRM, conversaciones de agentes en vivo, tickets, artículos del centro de ayuda y más. La explotación de esta vulnerabilidad, inicia con el registro por parte de los atacantes en el servicio de emisión de boletos de la cuenta de Zendesk de la víctima como un nuevo usuario externo.

Una vulnerabilidad de Amazon RDS permite publicar en la web copias de seguridad de bases de datos
Amazon RDS es una popular plataforma como servicio que proporciona una base de datos basada en varios motores opcionales, incluidos MySQL y PostgreSQL. Una instantánea de RDS, o una instantánea de volumen de almacenamiento de una instancia de base de datos, es una función intuitiva que ayuda a las organizaciones a realizar copias de seguridad de sus bases de datos, lo que permite a los usuarios compartir datos públicos o una base de datos de plantilla en una aplicación.

Recientemente los investigadores de Mitta, encontraron una filtración en forma de numerosas filtraciones del Servicio de base de datos de relaciones de Amazon (RDS).

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 21 al 27 de Noviembre de 2022:

Objetivos observados durante semana de análisis:

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Banca y Finanzas
• Defensa y orden público
• Educación
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Transportes y servicios automotrices.

• Industrias manufactureras, materiales y minería
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Servicios empresariales y comercio
• Transportes y servicios automotrices.

• Retail y servicios de consumo
• Banca y Finanzas
• Defensa y orden público

• Educación
• Servicios de salud, sociales y farmacia

• N/A

El Centro de Ciberinteligencia de Entel Ciber Secure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC 's en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de mal spam por correo electrónico.
• Proteger el protocolo RDP:
• Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
• Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
• Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
• Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
• Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
• Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (Appdata, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.