ENTEL Weekly Threat Intelligence Brief del 12 al 18 de diciembre de 2022

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Black Basta Ransomware agrega a su lista de víctimas a The Exchange Bank.
• LockBit ransomware compromete 2 instituciones financieras pertenecientes a los países: Estados Unidos y México. 
• MuddyWater APT vinculada a Irán, en nueva campaña dirigida a países de Oriente Medio y Asia Central y Occidental.
• El grupo APT chino MirrorFace tiene como objetivo entidades políticas japonesas.
• Nueva  backdoor de Python está dirigida a los servidores VMware ESXi.
• Malware Truebot incrementa el número de infecciones.
• Malware QBot propagado  a través de archivos SVG, mediante el contrabando de HTML´s.
• La botnet denominada MCCrash está lanzando ataques de denegación de servicio distribuido (DDoS) contra servidores privados de Minecraft.
• Siemens ha informado nuevos avisos de seguridad que afectan múltiples productos.
• Nuevo aviso de seguridad que afecta a productos VMware.
• Jenkins publica nuevo aviso de seguridad con múltiples vulnerabilidades.
• Patch Tuesday Microsoft de diciembre corrige 49 vulnerabilidades.
• Patch Day SAP – Diciembre 2022.
• Nuevas vulnerabilidades publicadas en VMWare.
• Vulnerabilidad crítica en Citrix siendo explotada por APT5.
• Vulnerabilidad crítica de Fortinet está siendo explotada.
• Samba abordó múltiples vulnerabilidades de alta gravedad.
• Fortinet insta a sus clientes a corregir el fallo de FortiOS SSL-VPN activamente explotado.

Black Basta Ransomware agrega a su lista de víctimas a The Exchange Bank

The Exchange Bank es un banco comunitario del país estadounidense que ofrece servicios bancarios personales y empresariales, incluidas hipotecas, préstamos y líneas de crédito hipotecarios y préstamos SBA.

Este domingo 18 de diciembre se dio a conocer que el grupo de ransomware Black Basta publicó en su sitio de extorsión el compromiso efectuado a la institución financiera, sin embargo, por el reciente compromiso aún no se observan detalles de los datos comprometidos.

LockBit ransomware compromete el departamento de finanzas de California.

El pasado 12 de diciembre, el departamento de finanzas de California confirmó a través de un comunicado, un incidente de seguridad que afectó a sus sistemas informáticos. El grupo que se adjudicó el ataque corresponde a LockBit, quien afirmó haber robado 76 Gb del Departamento de Finanzas de California, datos que corresponden a:  bases de datos, datos confidenciales, documentos financieros, certificación, procedimientos judiciales y sexuales en los tribunales, documentos de TI entre otros que fueron publicados en su sitio de extorsión. 

Lockbit Ransomware agrega a su lista de víctimas a organizaciones de países latinoamericanos  principalmente de sectores de telecomunicaciones,  servicios de retail y finanzas.

México y Venezuela resultaron afectados por el grupo de ransomware lockbit, esto fue identificado con la exposición de las empresas  (veolus, financierareyes y amazing-global ) en su sitio de extorsión esta semana, se desconoce aún las tácticas técnicas y procedimientos que usaron los atacantes para lograr el acceso inicial. 

Play Ransomware compromete dos instituciones sudamericanas de Argentina 

Las instituciones afectadas corresponden principalmente a los sectores de telecomunicaciones y retails, se identificaron en su sitio de extracción con los nombres  de Arsat y Cetrogar.

MuddyWater APT vinculada a Irán, en nueva campaña dirigida a países de Oriente Medio y Asia Central y Occidental.

Según en la observación de varias fuentes se está llevando a cabo una campaña por parte del grupo APT MuddyWater (AKA SeedWorm, TEMP[.]Zagros y Static Kitten) dirigida a Armenia, Azerbaiyán, Egipto, Irak, Israel, Jordania, Omán, Qatar, Tayikistán y Emiratos Árabes Unidos.

La campaña observada por Deep Instinct iniciada en septiembre se diferencia de las anteriores por el uso de una nueva herramienta de administración remota llamada “Syncro”. MuddyWater no es el único actor de amenazas que abusa de Syncro, la herramienta también se ha empleado en  las  campañas de BatLoader  y  Luna Moth.

El grupo APT usó un archivo adjunto HTML como señuelo y usó proveedores adicionales para alojar los archivos que contenían los instaladores de la herramienta de administración remota.

Los archivos adjuntos HTML a menudo se entregan a los destinatarios y no los bloquean las soluciones antivirus y de seguridad del correo electrónico.

El grupo APT chino MirrorFace tiene como objetivo entidades políticas japonesas

Recientemente se descubrió una campaña de phishing denominada “Operación LiberalFac”  adjudicada a la APT de origen chino MirrorFace, que está apuntando a entidades políticas japonesas, especialmente a los miembros de un partido político específico.

La campaña se lanzó en junio de 2022, los mensajes de spear-phishing se usaron para difundir el backdoor LODEINFO, un implante que se usa para entregar cargas útiles adicionales y exfiltrar las credenciales y los datos confidenciales de las víctimas.

Nueva  backdoor de Python está dirigida a los servidores VMware ESXi

Recientemente se descubrió una backdoor en Python no documentada  previamente dirigida a servidores VMware ESXi. De acuerdo a lo observado en varias fuentes, se especula que los atacantes pueden haber explotado problemas conocidos (es decir, CVE-2019-5544 y CVE-2020-3992) en el servicio OpenSLP de ESXi. Según lo mencionan los investigadores de Juniper, “Aunque el script Python utilizado en este ataque es multiplataforma y puede ser utilizado con poca o ninguna modificación en Linux u otros sistemas tipo UNIX, hay varios indicios de que este ataque fue diseñado específicamente para atacar ESXi”. A continuación se muestra la lista de archivos instalados o modificados en este ataque:

• /etc/rc[.]local.d/local[.]sh: se almacena en RAM, pero los cambios se guardan en una copia de seguridad y se restauran en el reinicio
• /bin/hostd-probe[.]sh: los cambios se almacenan en RAM y se vuelven a aplicar tras un reinicio
• /store/packages/vmtools[.]py: se guarda en los almacenes de disco persistentes utilizados para imágenes de disco de VM, registros, etc.
• /etc/vmware/rhttpproxy/endpoints[.]conf: los cambios se guardan en RAM y se vuelven a aplicar tras un reinicio.
• Para permitir el acceso de atacantes remotos, cambiaron la configuración del proxy HTTP inverso de ESXi. Las asignaciones de nombres de ruta a puertos de red se almacenan en el archivo de configuración, /etc/vmware/rhttpproxy/endpoints[.]conf[.]

Los cambios en los archivos son persistentes porque es uno de los archivos del sistema de los que se hace copia de seguridad y se restaura automáticamente al reiniciar. Para determinar si su instalación se ha visto comprometida, los investigadores recomiendan revisar los archivos vmtools[.]py y local[.]sh.

Malware Truebot incrementa el número de infecciones 

El malware se ha adjudicado al grupo de hackers Silence que  han plantado su malware en más de 1.500 sistemas en todo el mundo para obtener shellcode, balizas Cobalt Strike, el malware Grace, la herramienta de exfiltración Teleport y el ransomware Clop. Se orientan principalmente a las víctimas de los países: México, Brasil y Pakistán. 

De acuerdo a lo observado en las investigaciones expuestas, los atacantes obtuvieron el acceso inicial tras explotar una vulnerabilidad crítica en los servidores Netwrix Auditor, vulnerabilidad rastreada como CVE-2022-31199. 

Truebot es un malware dropper que se utiliza para infectar sistemas, recopilar información sobre los objetivos y desplegar cargas maliciosas adicionales. Los datos recopilados se envían de vuelta al mando y control (C2) del atacante. 

Los investigadores detectaron un conjunto de comandos para filtrar los datos robados a través de una herramienta personalizada desconocida hasta entonces, denominada Teleport.

El análisis de los comandos emitidos a través de Teleport revela que la herramienta es utilizada por los atacantes para recopilar archivos de las carpetas OneDrive y Descargas, y de los mensajes de correo electrónico de Outlook de la víctima.

Malware QBot propagado  a través de archivos SVG, mediante el contrabando de HTMLs

Los investigadores  de Talos descubrieron una campaña de phishing que distribuía el malware QBot a sistemas Windows usando archivos SVG, una nueva técnica que aprovecha los gráficos vectoriales escalables, así como también el contrabando de HTML .

El contrabando de HTML es una técnica muy evasiva de distribución de malware que aprovecha funciones legítimas de HTML5 y JavaScript. Las cargas maliciosas se distribuyen a través de cadenas codificadas en un archivo adjunto HTML o en una página web. El código HTML malicioso se genera en el navegador del dispositivo de destino, que ya se encuentra dentro del perímetro de seguridad de la red de la víctima.

El malware QBot se propaga a través de mensajes de phishing, la amenaza es capaz de secuestrar el correo electrónico de una víctima y enviarse a sí mismo como una respuesta a un hilo de correo electrónico existente.

Los mensajes utilizan un archivo HTML adjunto y, cuando el destinatario lo abre, el código JavaScript introducido dentro de la imagen SVG inicia el ataque. El script crea un archivo zip malicioso protegido por contraseña y, a continuación, presenta al usuario un cuadro de diálogo para guardar el archivo. La contraseña se incluye en el archivo HTML adjunto. Si el destinatario introduce la contraseña proporcionada por el atacante y abre el archivo zip, puede extraer un archivo .ISO , el que permite infectar a la víctima con el malware Qakbot.

La botnet denominada MCCrash está lanzando ataques de denegación de servicio distribuido (DDoS) contra servidores privados de Minecraft.

Microsoft detectó una botnet multiplataforma, rastreada como MCCrash, que ha sido diseñada para lanzar ataques distribuidos de denegación de servicio (DDoS) contra servidores privados de Minecraft. El gigante de TI rastrea este grupo de actividad como DEV-1028. Se conoce según fuentes observadas que la mayoría de las infecciones se informaron en Rusia, otros países donde los investigadores observaron infecciones son Kazajstán, Uzbekistán, Ucrania, Bielorrusia, Chequia, Italia, India e Indonesia.

El mecanismo de propagación del malware que se gestiona en ésta botnet se origina a partir de descargas de software malicioso en dispositivos Windows, tambien uso los mismos mecanismos para infectar múltiples dispositivos basados ​​en Linux.

Siemens ha informado nuevos avisos de seguridad que afectan múltiples productos

Siemens ha publicado 20 avisos de seguridad que afectan a varios de sus productos, de las 48 vulnerabilidades 29 son de vulnerabilidad alta, 11 son de vulnerabilidad media y 8 son de vulnerabilidad baja.

Para mayores antecedentes: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1452/

Nuevo aviso de seguridad que afecta a productos VMWare

VMWare ha publicado un nuevo aviso de seguridad que afecta a productos de VMware, las fallas de seguridad contemplan 2 vulnerabilidades, 1 de severidad Alta y 1 de severidad media.

Para mayores antecedentes: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1450/

Jenkins publica nuevo aviso de seguridad con múltiples vulnerabilidades

El servidor Jenkins, publicó un aviso de seguridad que contiene 7 vulnerabilidades que se clasifican en 4 de severidad Alta y 3 de severidad Media.

Para mayores antecedentes: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1451/

Patch Tuesday Microsoft de diciembre corrige 49 vulnerabilidades

En su actualización programada para el martes de parches de diciembre del 2022, Microsoft  informó 49 correcciones de seguridad. Del total de vulnerabilidades 6 son catalogadas como Críticas y corresponden a fallas de ejecución de código remoto en diversos productos. Cabe destacar que Microsoft ha publicado actualizaciones de seguridad para dos vulnerabilidades de día cero, una explotada activamente (CVE-2022-44698)  y la otra divulgada públicamente (CVE-2022-44710).

De las 49 CVE´s parcheadas por Microsoft en el Patch Tuesday de diciembre, 6 son clasificadas como Críticas, 40 clasificadas como Importantes, 2 como Moderadas y 1 sin clasificación . Esto no incluye las  24  actualizaciones de Microsoft Edge Chromium.

• 16 vulnerabilidades de elevación de privilegios
• 2 vulnerabilidades de omisión de funciones de seguridad
• 23 vulnerabilidades de ejecución remota de código
• 3 vulnerabilidades de divulgación de información
• 3 vulnerabilidades de denegación de servicio
• 1 vulnerabilidad de suplantación de identidad
• 1 vulnerabilidad de Defense in Depth

Para mayores antecedentes: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1449/

Patch Day SAP – Diciembre 2022

En el martes de parches de diciembre del 2022 SAP publicó 13 nuevos avisos de seguridad para sus productos, de los cuales: 4 son de Severidad Hot News, 3 son de Severidad Alta y 6 de Severidad Media. Además, se incluyen 5 actualizaciones de vulnerabilidades abordadas anteriormente. Esta publicación contempla 13 vulnerabilidades nuevas.

Para mayores antecedentes:  https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1448/

Nuevas vulnerabilidades publicadas en VMWare

VMWare ha publicado tres nuevos avisos de seguridad que afectan a productos de VMware, estos avisos contemplan 5 vulnerabilidades, de las cuales 2 son de severidad Crítica, 2 de severidad Alta y 1 de severidad Media.

Para mayores antecedentes: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1447/

Vulnerabilidad crítica en Citrix siendo explotada por APT5

Citrix ha publicado un nuevo aviso de seguridad que afecta a Citrix ADC y Citrix Gateway, la falla involucrada es de severidad crítica, pero aún no tiene un puntaje CVSS definido. Según la Agencia de Seguridad Nacional de EE. UU. (NSA), el CVE-2022-27518 ha sido explotado activamente por el grupo de amenazas persistentes APT5.

Para mayores antecedentes: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1446/

Vulnerabilidad crítica de Fortinet está siendo explotada

Fortinet ha publicado un aviso de seguridad para una vulnerabilidad crítica descubierta por la firma de ciberseguridad Olympe Cyberdefense, identificada como CVE-2022-42475, de la cual estarían al tanto que está siendo explotada activamente, según se conoce por ahora, por un grupo de ransomware.

Para mayores antecedentes: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1445/

Samba abordó múltiples vulnerabilidades de alta gravedad

Samba  es una implementación de software gratuito del protocolo de red SMB que proporciona servicios de archivo e impresión para varios clientes de Microsoft Windows y puede integrarse con un dominio de Microsoft Windows Server, ya sea como controlador de dominio (DC) o como miembro de dominio. El software se ejecuta en la mayoría de los sistemas similares a Unix, como Linux, Solaris, AIX y las variantes BSD, incluido el servidor macOS de Apple y el cliente macOS (Mac OS X 10.2 y superior)

Samba publicó actualizaciones para abordar múltiples vulnerabilidades, rastreadas como CVE-2022-38023, CVE-2022-37966, CVE-2022-37967 y CVE-2022-45141, que pueden ser explotadas para tomar el control de los sistemas afectados.

El 15 de diciembre de 2022, Samba anunció las versiones de seguridad 4.17.4, 4.16.8 y 4.15.13 para solucionar los problemas mencionados.

Fortinet insta a sus clientes a corregir el fallo de FortiOS SSL-VPN activamente explotado

Fortinet insta a sus clientes a actualizar sus instalaciones para solucionar una vulnerabilidad de FortiOS SSL-VPN activamente explotada, rastreada como CVE-2022-42475, que podría ser aprovechada por un atacante remoto no autenticado para ejecutar código arbitrario en los dispositivos.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 19 al 25  de diciembre de 2022:

Objetivos observados durante semana de análisis: 

• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Infraestructura tecnológica - Componentes
• Banca y Finanzas
• Educación
• Entretenimiento, cultura y arte
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes

• Banca y Finanzas
• Infraestructura tecnológica

• Educación

• Entretenimiento, cultura y arte
• Transportes y servicios automotrices
• Turismo, hoteles y restaurantes

• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Agricultura, ganadería, silvicultura y pesca - consumo
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.