ENTEL Weekly Threat Intelligence Brief del 28 de noviembre al 4 de diciembre de 2022

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Ransomware Cuba recaudó $60 millones de dólares en más de 100 víctimas.
• El nuevo wiper CryWiper apunta a entidades rusas disfrazadas de ransomware.
• Múltiples organizaciones ucranianas fueron atacadas por el Ransomware RansomBoggs con sede en Rusia.
• El APT UNC4191 vinculado a China se basa en dispositivos USB en ataques contra entidades en Filipinas.
• Ciberactores usan una nueva aplicación criptográfica falsa para violar las redes y robar criptomonedas.
• El desafío TikTok “Invisible Body” es explotado para impulsar malware.
• El nuevo servicio de malware DuckLogs afirma tener miles de “clientes”.
• Investigadores de ciberseguridad eliminan la botnet DDoS por accidente.
• Errores críticos de RCE en aplicaciones de teclado remoto de Android con 2 millones de instalaciones.
• La actualización de emergencia de Google Chrome corrige el noveno día cero del año.
• CISA advierte sobre múltiples vulnerabilidades críticas que afectan a los PLC de Mitsubishi Electric.
• Ciberactores explotan la vulnerabilidad de Redis para implementar el nuevo malware Redigo en los servidores.
• Una nueva falla de Linux se puede encadenar con otros dos errores para obtener privilegios completos de root.
• Nvidia corrige 29 vulnerabilidades en los controladores de pantalla de Windows y Linux.

Ransomware Cuba recaudó $60 millones de dólares de más de 100 víctimas

El FBI ha observado que los actores de ransomware de Cuba continúan apuntando a entidades estadounidenses en los siguientes cinco sectores de infraestructura crítica: servicios financieros, instalaciones gubernamentales, atención médica y salud pública, fabricación crítica y tecnología de la información.

El FBI y CISA agregaron que la banda de ransomware ha ampliado sus tácticas, técnicas y procedimientos (TTP´s) desde principios de año y se ha relacionado con el  troyano de acceso remoto  (RAT) RomCom y el ransomware Industrial Spy.

El nuevo wiper CryWiper apunta a entidades rusas disfrazadas de ransomware

Los investigadores de Kaspersky descubrieron un borrador de datos previamente desconocido, denominado CryWiper, que se empleó en ataques destructivos contra  las oficinas del alcalde y los tribunales rusos . El malware se hace pasar por ransomware, pero el análisis del código demuestra que en realidad no cifra, sino que solo destruye los datos del sistema infectado. 

Según Kaspersky, el wiper se detectó por primera vez en el otoño de 2022 cuando se empleó en un ataque contra la red de una organización en la Federación Rusa.

"Después de examinar una muestra de malware, descubrimos que este troyano, aunque se hace pasar por un ransomware y extorsiona a la víctima por "descifrar" los datos, en realidad no cifra, sino que destruye a propósito los datos en el sistema afectado. Además, un análisis del código del programa del troyano mostró que no se trataba de un error del desarrollador, sino de su intención original”.

Múltiples organizaciones ucranianas fueron atacadas por el Ransomware RansomBoggs con sede en Rusia 

Los investigadores de ESET observaron múltiples ataques que involucran una nueva familia de ransomware, rastreados como ransomware RansomBoggs, contra organizaciones ucranianas. La firma de seguridad detectó por primera vez los ataques el 21 de noviembre e inmediatamente alertó al CERT US. El ransomware está escrito en .NET y los expertos notaron que la implementación es similar a los ataques anteriores atribuidos al grupo Sandworm APT vinculado a Rusia.

Los actores de amenazas utilizaron un script de PowerShell para propagar el ransomware, los expertos notaron que es casi idéntico al script detectado en abril durante los ataques de Industroyer2 contra el sector energético.

El script de PowerShell fue rastreado por CERT UA como POWERGAP y se utilizó para implementar el limpiador CaddyWiper en los ataques de abril contra entidades ucranianas.

RansomBoggs cifra archivos usando AES-256 en modo CBC y agrega la extensión [.]chsch a los archivos cifrados. Luego, la clave se cifra con RSA y se escribe en aes[.]bin

El APT UNC4191 vinculado a China se basa en dispositivos USB en ataques contra entidades en Filipinas

Las operaciones UNC4191 han afectado a una variedad de entidades del sector público y privado principalmente en el sudeste asiático y se han extendido a EE. UU., Europa y Asociación Peruana Japonesa (APJ); sin embargo, incluso cuando las organizaciones objetivo tenían su sede en otros lugares, también se descubrió que los sistemas específicos objetivo de UNC4191 estaban ubicados físicamente en Filipinas”.

La cadena de infección comienza cuando un usuario conecta un dispositivo extraíble comprometido y ejecuta manualmente un binario firmado renombrado desde el directorio raíz del volumen de almacenamiento (T1091). Los archivos binarios iniciales, llamados extraíble Drive[.]exe o USB Drive[.]exe, son versiones de una aplicación legítimamente firmada llamada USB Network Gate, desarrollada por la empresa Electronic Team, Inc. Estos se utilizan para descargar el malware MISTCLOAK que se hace pasar por una DLL legítima.

Ciberactores usan una nueva aplicación criptográfica falsa para violar las redes y robar criptomonedas

El grupo de ciberactores de Corea del Norte “Lazarus” está vinculado a un nuevo ataque que difunde aplicaciones de criptomonedas falsas bajo la marca inventada, "BloxHolder", para instalar el malware AppleJeus para el acceso inicial a las redes y robar activos criptográficos.

Según un  informe conjunto del FBI y CISA  de febrero de 2021, AppleJeus ha estado en circulación desde al menos 2018, este ha sido utilizado por Lazarus en operaciones de secuestro de criptomonedas y robo de activos digitales.

La nueva campaña atribuida a Lazarus comenzó en junio de 2022 y estuvo activa al menos hasta octubre de 2022.

El desafío TikTok “Invisible Body” explotado para impulsar malware

Actores de amenazas están aprovechando un desafío TikTok de tendencia llamado “Invisible Body” para instalar malware en miles de dispositivos y robar sus contraseñas, cuentas de Discord y potencialmente, billeteras de criptomonedas.

En un nuevo informe de la firma de seguridad cibernética Checkmarx, los investigadores encontraron dos videos de TikTok publicados por los atacantes, que acumularon rápidamente más de un millón de visitas combinadas.

Los usuarios de TikTok ahora suspendidos @learncyber y @kodibtc crearon los videos para promocionar una aplicación de software para "eliminar el cuerpo invisible del filtro" que se ofrece en un servidor de Discord llamado "Space Unfilter".

El nuevo servicio de malware DuckLogs afirma tener miles de “clientes”

Ha surgido una nueva operación de malware como servicio (MaaS) llamada 'DuckLogs', que brinda a los atacantes poco calificados un fácil acceso a múltiples módulos para robar información, registrar pulsaciones de teclas, acceder a datos del portapapeles y acceso remoto al host comprometido.  DuckLogs está completamente basado en la web. Afirma que miles de ciberdelincuentes pagan una suscripción para generar y lanzar más de 4000 compilaciones de malware.

DuckLogs incluye principalmente un ladrón de información y un troyano de acceso remoto (RAT), pero tiene más de 100 módulos individuales que se dirigen a aplicaciones específicas.

A continuación se muestra una lista de algunos de los datos y aplicaciones a los que apunta el componente de robo de información:

• Información de hardware y software
• Archivos almacenados en discos locales
• Credenciales de cuenta y cookies almacenadas en navegadores web
• Correos electrónicos de Thunderbird y Outlook
• Datos de mensajería de Discord, Telegram, Signal y Skype
• Datos de cuenta de NordVPN, ProtonVPN, OpenVPN y CrypticVPN
• Datos de FileZilla y TotalCommander
• Cuentas de Steam, Minecraft, Battle.Net y Uplay
• Carteras de criptomonedas Metamask, Exodus, Coinomi, Atomic y Electrum

Investigadores de ciberseguridad eliminan botnet DDoS por accidente

Mientras analizaban sus capacidades, los investigadores de Akamai eliminaron accidentalmente una red de bots de criptominería que también se usaba para ataques de denegación de servicio distribuido (DDoS). Como se reveló en un informe publicado a principios de este mes, el malware KmsdBot detrás de esta botnet fue descubierto por miembros del Equipo de respuesta de inteligencia de seguridad de Akamai (SIRT) después de que infectara uno de sus honeypots.

KmsdBot, se dirige a dispositivos Windows y Linux con una amplia gama de arquitecturas e infecta nuevos sistemas a través de conexiones SSH que usan credenciales de inicio de sesión débiles o predeterminadas. Los dispositivos comprometidos se utilizan para extraer criptomonedas y lanzar ataques DDoS, y algunos de los objetivos anteriores son empresas de juegos y tecnología, así como fabricantes de automóviles de lujo.

Errores críticos de RCE en aplicaciones de teclado remoto de Android con 2 millones de instalaciones

Tres aplicaciones de Android que permiten a los usuarios usar dispositivos como teclados remotos para sus computadoras tienen vulnerabilidades críticas que podrían exponer las pulsaciones de teclas y permitir la ejecución remota de código.  Las aplicaciones son PC Keyboard, Lazy Mouse y Telepad, y sus versiones vulnerables (gratuitas y de pago) y en Google Play tienen un recuento de instalación combinada de más de dos millones.

• CVE-2022-45477 (índice de gravedad 9.8): falla en Telepad, que permite que un usuario remoto no autenticado envíe instrucciones al servidor para ejecutar código arbitrario sin necesidad de autorización o autenticación.
• CVE-2022-45478 (índice de gravedad 5.1): falla de Telepad que permite a un atacante realizar un ataque de hombre en el medio (MITM) y leer todas las pulsaciones de teclas en texto sin cifrar.
• CVE-2022-45479 (índice de gravedad 9,8): flujo de teclado de PC que permite a un usuario remoto no autenticado enviar instrucciones al servidor para ejecutar código arbitrario sin necesidad de autorización o autenticación.
• CVE-2022-45480 (índice de gravedad 5.1): falla del teclado de la PC que permite a un atacante realizar un ataque de intermediario (MITM) y leer todas las pulsaciones de teclas en texto no cifrado.
• CVE-2022-45481 (índice de gravedad 9.8): falta de requisito de contraseña en la configuración predeterminada de Lazy Mouse, lo que permite a los usuarios remotos no autenticados ejecutar código arbitrario sin necesidad de autorización o autenticación.
• CVE-2022-45482 (índice de gravedad 9.8): la debilidad del servidor Lazy Mouse impone requisitos de contraseña débiles sin implementar una limitación de velocidad, lo que permite a los atacantes no autenticados forzar el PIN y ejecutar comandos arbitrarios.
• CVE-2022-45483 (índice de gravedad 5.1): la falla de Lazy Mouse permite que un atacante realice un ataque de intermediario (MITM) y lea todas las pulsaciones de teclas en texto claro.

La actualización de emergencia de Google Chrome corrige el noveno día cero del año

Google ha lanzado Chrome 108.0.5359.94/.95 para usuarios de Windows, Mac y Linux para abordar una sola falla de seguridad de alta gravedad, el noveno día cero de Chrome explotado en la naturaleza parcheado desde el comienzo del año.

Google está al tanto de los informes de que existe un exploit para CVE-2022-4262, dijo el gigante de las búsquedas en un  aviso de seguridad  publicado el viernes 2 de diciembre.

La vulnerabilidad de día cero (CVE-2022-4262) se debe a una debilidad de confusión de tipos de alta gravedad   en el motor de JavaScript Chrome V8 informada por Clement Lecigne del Grupo de análisis de amenazas de Google.

A pesar de que las fallas de seguridad de confusión de tipos generalmente provocan fallas en el navegador después de una explotación exitosa al leer o escribir memoria fuera de los límites del búfer, los actores de amenazas también pueden explotarlas para la ejecución de código arbitrario.

CISA advierte sobre múltiples vulnerabilidades críticas que afectan a los PLC de Mitsubishi Electric

La explotación exitosa de estas vulnerabilidades al software de ingeniería Mitsubishi Electric GX Works3 podría permitir a los usuarios no autorizados obtener acceso a los módulos de CPU de la serie MELSEC iQ-R/F/L y al módulo de servidor OPC UA de la serie MELSEC iQ-R o ver y ejecutar programas.

GX Works3 es un software de estación de trabajo de ingeniería utilizado en entornos ICS, que actúa como un mecanismo para cargar y descargar programas desde/hacia el controlador, solucionar problemas de software y hardware y realizar operaciones de mantenimiento.

Los errores más críticos, CVE-2022-25164 y CVE-2022-29830 , tienen una puntuación CVSS de 9,1 y se puede abusar de ellos para obtener acceso al módulo de la CPU y obtener información sobre los archivos del proyecto sin necesidad de permisos.

Ciberactores explotan la vulnerabilidad de Redis para implementar el nuevo malware Redigo en los servidores

La falla CVE-2022-0543 es una  falla de escape del sandbox de Lua  que afecta a las distribuciones de Linux Debian y derivadas de Debian. La vulnerabilidad, que recibió una calificación de 10 sobre 10 en cuanto a gravedad, podría ser aprovechada por un atacante remoto con la capacidad de ejecutar secuencias de comandos de Lua arbitrarias para posiblemente escapar de la zona de pruebas de Lua y ejecutar código arbitrario en la máquina subyacente.

 Los investigadores de Juniper Threat Labs  informaron  que se ha observado que la red de bots Muhstik apunta a servidores Redis que explotan la vulnerabilidad CVE-2022-0543.

Una nueva falla de Linux se puede encadenar con otros dos errores para obtener privilegios completos de root

Los investigadores de la Unidad de Investigación de Amenazas de Qualys demostraron cómo encadenar una nueva vulnerabilidad de Linux, rastreada como  CVE-2022-3328 , con otras dos fallas para obtener privilegios de root completos en un sistema afectado.

• CVE-2022-3328: Es un problema de condición de carrera de Snapd que puede provocar una escalada de privilegios locales y la ejecución de código arbitrario.
• CVE-2022-41974: Device-mapper-multipath permite a los usuarios locales obtener acceso a la raíz, explotado solo o junto con CVE-2022-41973.
• CVE-2022-41973 (CVSS 7.0): Device-mapper-multipath permite a los usuarios locales obtener acceso raíz, junto con CVE-2022-41974.

Nvidia corrige 29 vulnerabilidades en los controladores de pantalla de Windows y Linux

Nvidia corrige múltiples fallas de seguridad en su controlador de pantalla GPU,  el más grave de los defectos de seguridad es CVE-2022-34669 (puntuación CVSS de 8,8), un problema en la capa de modo de usuario del controlador de Windows de Nvidia que podría ser explotado por un atacante sin privilegios para acceder o manipular archivos del sistema u otros archivos que utiliza el conductor.

Los 29 errores afectan a varios productos de software de Nvidia diferentes: GeForce, Studio, Nvidia RTX, Quadro, NVS y Tesla que se ejecutan en sistemas Windows. Además, GeForce, Nvidia RTX, Quadro, NVS y Tesla en dispositivos basados ​​en Linux. 

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 5 al 11  de diciembre de 2022:

Objetivos observados durante semana de análisis: 

• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Entretenimiento, cultura y arte
• Infraestructura tecnológica
• Construcción e inmobiliaria
• Banca y Finanzas
• Defensa y orden público
• Servicios empresariales y comercio
• Transportes y servicios automotrices.
• Infraestructura tecnológica - Componentes
• Educación
• Servicios de salud, sociales y farmacia
• Shipment y cadena de suministros
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo

DEFCON 1

• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Entretenimiento, cultura y arte
• Infraestructura tecnológica

DEFCON 2

• Construcción e inmobiliaria
• Banca y Finanzas
• Defensa y orden público
• Servicios empresariales y comercio
• Transportes y servicios automotrices.

DEFCON 3

• Infraestructura tecnológica - Componentes
• Educación
• Servicios de salud, sociales y farmacia
• Shipment y cadena de suministros

DEFCON 4

• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.