ENTEL Weekly Threat Intelligence Brief del 05 al 11 de diciembre de 2022

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

Keywords: Ransomware, APT, Malware, Vulnerabilidad, Exploit, Phishing

• Una vulnerabilidad crítica de Ping permite a atacantes remotos hacerse con el control de sistemas FreeBSD
• Tres vulnerabilidades inocuas de Linux encadenadas para obtener plenos privilegios de root
• Parcheadas varias vulnerabilidades de ejecución de código en el cortafuegos Sophos
• Cisco revela un fallo de alta gravedad en teléfonos IP con código de explotación
• Los WAF de varios proveedores importantes se burlan con un método de ataque genérico
• Más de 4.000 hosts seguros Pulse Connect vulnerables expuestos a Internet
• El mercado de los infosteadores se dispara en la Dark Web
• El servicio de enlace APK Zombinder, utilizado en múltiples ataques de malware
• Ataques contra servidores Redis vulnerables para distribuir el backdoor Redigo
• DEV-0139 se dirige al sector de la inversión en criptomoneda
• Campañas de phishing de MuddyWater dirigidas a MSP de todo el mundo
• El ransomware de código abierto Cryptonite se convierte en un malware Wiper accidentalmente
• Decenas de escuelas atacadas por el ransomware Vice Society en 2022
• Nuevo ransomware Babuk detectado en un importante ataque
• La profesionalización del ransomware crece a medida que RaaS se afianza

El ransomware de código abierto Cryptonite se convierte en un malware wiper accidental

Investigadores de Fortinet han realizado un análisis al ransomware de código abierto publicado gratuitamente en github (actualmente removido) identificando una serie de errores de código que desencadenan en que los archivos cifrados no puedan ser recuperados, transformando su actuar a un Wiper.

Esta condición está dada por errores que causan que el programa se interrumpa luego de desplegar la nota de secuestro, o si es que este es cerrado inesperadamente, causando un error en la clave de cifrado que impide la recuperación de archivos

Decenas de colegios en el punto de mira del ransomware de Vice Society en 2022

De acuerdo a un reporte de Palo alto, durante 2022 el grupo de ransomware Vice Society ha atacado un total de 33 instituciones educativas, principalmente georeferenciadas en Estados Unidos, sin embargo no es la única industria ya que también se ha dirigido a organizaciones del cuidado de la salud, organizaciones gubernamentales y no gubernamentales, además de industria manufacturera, lo que da indicios de que sus motivaciones no son 100% orientadas en la recompensa económica, sino que también en infraestructura sensible de crecimiento de un país, lo cual podría estar relacionado a motivaciones de ciberespionaje.

Cabe destacar que Vice society no funciona bajo la modalidad de RaaS, por lo que sus operadores definen directamente sus objetivos.

Nuevo ransomware Babuk detectado en un importante ataque

Recientemente se ha identificado una nueva variante de ransomware Babuk realizando ataques. Este ransomware originado en 2021 había detenido sus operaciones luego de que se filtra el código fuente completo de su builder en un foro de habla rusa

Actualmente la variante detectada no se encuentra solo compuesta por el data leak, si no que se ha combinado con otras herramientas de código abierto para la evasión de detecciones, generando nuevas variantes nunca antes vistas, logrando atacar a una compañía multimillonaria en donde logró infectar miles de terminales luego de capturar su Active Directory

La profesionalización del ransomware crece a medida que RaaS se afianza

Durante 2022 se ha visualizado un fuerte incremento en la incidencia de ransomware en el mundo a la vez que estos crecen, son mayormente sofisticados y comienzan a adquirir características de negocios para monetizar de mejor forma sus ataques, en mayor medida cuando se trata de RaaS ya que deben organizar y administrar tanto sus ingresos y actividad de sus operadores, tareas y pagos.

De esta forma tal como se pudo evidenciar tras el dataleak de Conti, existe una organización jerarquizada que responde a diferentes tareas o afiliados, por tanto, las organizaciones detrás de bandas de ransomware cada vez deben ser más especializadas y preparadas para el rápido crecimiento y adopción detrás de esta lucrativa forma de ataque, por tanto, se estima que para 2023 continue en constante aumento y perfeccionamiento.

DEV-0139 se dirige al sector de la inversión en criptomonedas

DEV-0139 es un APT vinculado a Lazarus y Corea del norte que se ha estado dedicando a ataques dirigidos hacia las criptomonedas, como una forma directa de monetización de sus ataques, en donde las últimas evidencias apuntan a su infiltración dentro de chats de telegram de los exchanges o de usuarios Vip de los mismos, en donde luego de tomar confianza suficiente, se hace pasar por representante de una entidad para compartir documentación con comparativas de comisiones, la cual se envía mediante un documento excel con macros, que tras ser abiertas despliegan el malware AppleJesus.

Campañas de phishing de MuddyWater dirigidas a MSP de todo el mundo

El grupo de ciberactores vinculado a Irán mantiene campañas activas dirigidas a MSP de todo el mundo, en donde por medio de phishing o spear phishing realizan la propagación de un archivo HTML vía correo electrónico, con un enlace adjunto que invita a descargar el software “Syncro msi installer” desde OneDrive, para que luego una vez instalado permite tomar el control remoto del terminal infectado, pudiendo desplegar backdoors para establecer persistencia.

Cabe mencionar que Syncro es una herramienta que multiples MSPs utilizan para el desarrollo de sus actividades.

MSP: Un proveedor de servicios gestionados (MSP) es una empresa externa que gestiona a distancia la infraestructura de tecnologías de la información (TI) y los sistemas de usuario final de un cliente.

El mercado del robo de información se dispara en la Dark Web

Mediante un reporte de Accenture, se ha identificado una alta demanda de información relacionada a info stealers en DDW, debido a sus apreciadas capacidades para el robo de información, principalmente de credenciales, generando un gran interés en la adquisición de la información robada como de la herramienta para propagar el malware, ya que mediante el modelo de negocio MaaS (Malware as a service) es factible que actores maliciosos con bajos conocimientos o con pocos recursos puedan desplegar malware para acceder a otras redes de forma fácil.

Es por esto que el mercado crece y cada vez existen mayores opciones y oportunidades de adquisicion de malware, los que se ofrecen en mercados negros y han permitido un incremento en el desarrollo de mas y nuevas familias o variantes como:

• Redline
• Raccoon
• Stealer
• Vidar
• AZORult
• Aurora 
• META
• Whisper
• Gomorrah v5
• Erbium
• BlackIce
• LummaC
• Rhadamanthys
• AcridRain
• Psigo

El servicio de enlace APK Zombinder utilizado en múltiples ataques de malware

Zomblinder es un servicio alojado en DDW que permite incrustar archivos maliciosos a aplicaciones legítimas de android, de forma que estas al ser distribuidas e instaladas por las victimas no levantan sospechas en su funcionamiento, sin embargo una vez son utilizadas, descargan el archivo malicioso incorporado anteriormente, entre los que se encuentran:

• Ermac - Android
• Erbium - Desktop
• Aurora Stealer - Desktop
• Laplas - Desktop

Adicionalmente, La variante de Ermac empleada en los ataques analizados tiene las siguientes capacidades:

• Ataque de superposición para robar PII
• Keylogging
• Robo de correos electrónicos de la aplicación Gmail
• Robo de códigos 2FA
• Robo de frases semilla de carteras de criptomonedas

Una vulnerabilidad crítica de Ping permite a atacantes remotos hacerse con el control de sistemas FreeBSD - [CVE-2022-23093]

Afecta a todas las versiones soportadas de FreeBSD y tiene que ver con una vulnerabilidad de desbordamiento de búfer basada en pila en el servicio ping.

Ping lee paquetes IP sin procesar de la red para procesar respuestas en la función pr_pack()", cuya funcion copia las cabeceras IP e ICMP recibidas en búferes de pila para su posterior procesamiento. Al hacerlo, no tiene en cuenta la posible presencia de cabeceras de opción IP a continuación de la cabecera IP, ya sea en la respuesta o en el paquete citado.

El Proyecto FreeBSD señaló que el proceso de ping se ejecuta en una sandbox de modo de capacidad y, por tanto, está limitado en la forma en que puede interactuar con el resto del sistema operativo.

• Mayores antecedentes en siguiente enlace:
• https://www.freebsd.org/security/advisories/FreeBSD-SA-22:15.ping.asc

Tres vulnerabilidades inocuas de Linux encadenadas para obtener plenos privilegios de root - [CVE-2022-3328, CVE-2022-41974, CVE-2022-41973]

El fallo afecta al programa 'snap-confine' (CVE-2022-3328) utilizado por Snapd para construir el entorno de ejecución de las aplicaciones Snap.

El programa afectado está presente por defecto en Ubuntu y puede ser explotado para la escalada de privilegios local y la ejecución de código arbitrario que podría combinarse con otras vulnerabilidades para un ataque más sofisticado.

Esta vulnerabilidad puede ser vinculada con Multipathd, que cuenta con un problema de omisión de autorización que puede ser explotado por un usuario sin privilegios para ejecutar comandos privilegiados a Multipathd (CVE-2022-41974), y un ataque symlink (CVE-2022-41973) que puede ser utilizado para forzar la ejecución de código malicioso.

En conclusión la vulnerabilidad de Snapd con los dos fallos de Multipathd puede permitir a cualquier usuario sin privilegios obtener privilegios de root en un dispositivo vulnerable.

• Mayores antecedentes en siguiente enlace:
• https://www.qualys.com/2022/11/30/cve-2022-3328/advisory-snap.txt

Parcheadas varias vulnerabilidades de ejecución de código en Sophos Firewall

Sophos ha publicado 1 aviso de seguridad que contiene 7 vulnerabilidades, de las cuales 1 es de severidad crítica, 4 es de severidad crítica, 1 de severidad Media y 1 de severidad Baja.

Es  importante mencionar que las vulnerabilidades no son recientes y han sido alertadas desde Septiembre, cuando se identificó que el CVE-2022-3236 estaba siendo activamente explotado en Asia, sin embargo, solo se dispone de parches para estas vulnerabilidades desde el 1 de Diciembre de 2022, por lo que es imperante aplicarlas a la brevedad posible.

• Mayores antecedentes en siguiente enlace:
• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1441/
• https://www.sophos.com/en-us/security-advisories/sophos-sa-20221201-sfos-19-5-0

Cisco revela un fallo de alta gravedad en teléfonos IP con código de explotación - [CVE-2022-20968]

Cisco ha revelado una vulnerabilidad de día cero de alta gravedad que afecta a la última generación de sus teléfonos IP y los expone a la ejecución remota de código y a ataques de denegación de servicio (DoS).

La compañía advirtió el jueves que su Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT) es consciente de que el código de explotación de prueba de concepto está disponible" y que la "vulnerabilidad ha sido discutida públicamente, sin embargo, el PSIRT de Cisco añadió que aún no tiene constancia de ningún intento de explotar este fallo de seguridad en ataques.

• Mayores antecedentes en siguiente enlace:
• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1443/
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipp-oobwrite-8cMF5r7U

Los WAF de varios proveedores importantes se burlan con un método de ataque genérico

Investigadores descubrieron una vulnerabilidad de inyección SQL que podía utilizarse para obtener información confidencial, como cookies de sesión, tokens, claves SSH y hashes de contraseñas.

La explotación del fallo funcionó contra la versión local, pero un intento de explotarlo contra la versión en la nube fue bloqueado por el WAF de Amazon Web Services (AWS), que marcó la carga útil de inyección SQL como maliciosa.

Un análisis más detallado reveló que el WAF podía eludirse abusando del formato de intercambio de datos JSON. La sintaxis JSON es compatible con los principales motores SQL y está activada por defecto.

Los investigadores Reprodujeron con éxito el bypass contra productos de Palo Alto Networks, Cloudflare, F5 e Imperva.WAF bypass

• Mayores antecedentes en siguiente enlace:
  https://claroty.com/team82/research/js-on-security-off-abusing-json-based-sql-to-bypass-waf

Más de 4.000 hosts seguros Pulse Connect vulnerables expuestos a Internet

Un análisis realizado por Censys logró identificar un gran volumen de dispositivos expuestos a internet con vulnerabilidades críticas para su servicio Pulse Connect, las cuales son conocidas y cuentan con parches disponibles, en algunos casos desde 2018.

A continuación el listado de las vulnerabilidades críticas detectadas:

• CVE-2021-22893 CVSS: 10
• CVE-2018-5299 CVSS: 9,8
• CVE-2018-6320 CVSS: 9,8
• CVE-2019-11510 CVSS: 10
• CVE-2019-11540 CVSS: 9,8

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 5 al 11  de diciembre de 2022:

Objetivos observados durante semana de análisis: 

• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Entretenimiento, cultura y arte
• Infraestructura tecnológica
• Construcción e inmobiliaria
• Banca y Finanzas
• Defensa y orden público
• Servicios empresariales y comercio
• Transportes y servicios automotrices.
• Infraestructura tecnológica - Componentes
• Educación
• Servicios de salud, sociales y farmacia
• Shipment y cadena de suministros
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
•  

DEFCON 1

DEFCON 2

• Servicios legales y profesionales
• Defensa y orden público

DEFCON 3

• Retail y servicios de consumo
• Banca y Finanzas
• Educación
• Entretenimiento, cultura y arte
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia
• Turismo, hoteles y restaurantes

DEFCON 4

• Construcción e inmobiliaria
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.