ENTEL Weekly Threat Intelligence Brief del 02 de enero al 08 de enero de 2022

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

Keywords: Ransomware, APT, Malware, Vulnerabilidad, Exploit, Phishing

• Se reporta una nueva técnica de phishing de SaaS to SaaS
• Hackers rusos atacaron a científicos nucleares estadounidenses
• PurpleUrchin salta CAPTCHA y roba recursos de plataformas en la nube
• Nuevo malware de Linux capaz explotar de más de 30 complementos y temas de WordPress
• Raspberry Robin evoluciona para atacar los sectores financiero y de seguros en Europa
• Actores maliciosos utilizan datos bancarios robados para propagar BitRAT
• Nuevo Malware de Linux utilizado para desplegar XMRig Miner
• Chips Qualcomm y BIOS de Lenovo obtienen actualizaciones de seguridad para corregir múltiples vulnerabilidades
• Publican exploit RCE de Control Web Panel
• Microsoft finaliza las actualizaciones para Windows 7

Lockbit continua presente en LATAM

Mediante el continuo seguimiento a las amenazas de ransomware, se ha evidenciado que LockBit continua atacando organizaciones latinoamericanas, tal y como ha sido la tonica durante 2022, por lo que se espera que este comportamiento continue en aumento, el cual hasta el momento se ha centrado en paises de LATAM de Centroamérica y levemente hacia el sur, con una gran cantidad de victimas en México y Brasil.

A continuación un mapa de calor con la actividad de LockBit en LATAM

Se reporta una nueva técnica de phishing de SaaS to SaaS

Durante el último tiempo se han observado nuevas técnicas vinculadas  a phishing enfocadas en saltar restricciones de seguridad de plataformas perimetrales con fin de llegar directamente al usuario sin levantar sospechas, utilizando servicios basados en la nube para cargar archivos que pueden ser abiertos directamente desde el navegador para generar el proceso robo de credenciales, por tanto no generan alarmas de seguridad locales.

Adicionalmente se han detectado nuevos casos de phishing propagados mediante códigos QR y que se le ha denominado QRshing, de esta forma se puede saltar bloqueos o restricciones convencionales, ya que plataformas de seguridad no analizan este tipo de contenido.

Hackers rusos atacaron a científicos nucleares estadounidenses

De acuerdo a registros obtenidos por investigadores, se identificó que actores de amenaza rusos conocidos como Cold River mantuvieron operaciones de phishing dirigidas a 3 laboratorios nucleares de Estados Unidos, mientras se desarrollaba el conflicto armado, a la vez que se ponía sobre la mesa la disposición de usar estas armas para la escalada del mismo como medida de presión entre ambos bandos.

PurpleUrchin omite CAPTCHA y roba recursos de plataformas en la nube

La unidad 42 de Palo Alto ha logrado detectar mediante operaciones propias, que el grupo sudafricano PurpleUrchin operado por AutomatedLibra se ha mantenido realizando constantes campañas de FreeJacking, que consiste en la minería de criptomonedas en servicios gratuitos en la nube como forma de monetizar sus operaciones

El grupo de actores conformado por cerca de 40 individuos,  realizaba estas operaciones mediante la creación y el uso de cuentas falsas, con tarjetas de crédito falsificadas o potencialmente robadas, de modo que tras contrastar los servicios, los utilizaban hasta que eran dados de baja por deudas impagas, logrando detectar cerca de 130.000 cuentas de virtual private server (VPS) y cloud service providers (CSPs).

Durante el proceso de preparación del, el grupo creaba cuentas en GitHub como contenedores de información para sus ataques, en donde lograba crear cerca de 3 a 5 cuentas por minuto, logrando evadir mecanismos de seguridad por CAPTCHA mediante la manipulación de la imagen en donde lograba establecer valores de comparación entre cada imagen para determinar las similitudes y así seleccionar las correctas.

Nuevo malware de Linux capaz explotar más de 30 complementos y temas de WordPress

Se ha detectado un nuevo malware que apunta a servidores linux que alojan sitios web basados en  WordPress, el cual se encuentra especialmente diseñado para intentar explotar una serie de vulnerabilidades en plugins y temas, en forma sucesiva hasta que una vez identifica  una vulnerabilidad específica, es capaz de cargar archivos javascript maliciosos en el servidor que luego serán utilizados para redirigir el tráfico web original hacia sitios de fraude o estafa, por lo cual se cree que actores detrás del malware puede estar prestando comercializando el servicio de acceso inicial a terceros.

Entre los Plugins y temas vulnerables se identifican los siguientes:

• WP Live Chat Support Plugin
• WordPress – Yuzo Related Posts
• Yellow Pencil Visual Theme Customizer Plugin
• Easysmtp
• WP GDPR Compliance Plugin
• Newspaper Theme on WordPress Access Control (CVE-2016-10972)
• Thim Core
• Google Code Inserter
• Total Donations Plugin
• Post Custom Templates Lite
• WP Quick Booking Manager
• Faceboor Live Chat by Zotabox
• Blog Designer WordPress Plugin
• WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
• WP-Matomo Integration (WP-Piwik)
• WordPress ND Shortcodes For Visual Composer
• WP Live Chat
• Coming Soon Page and Maintenance Mode
• Hybrid
• Brizy WordPress Plugin
• FV Flowplayer Video Player
• WooCommerce
• WordPress Coming Soon Page
• WordPress theme OneTone
• Simple Fields WordPress Plugin
• WordPress Delucks SEO plugin
• Poll, Survey, Form & Quiz Maker by OpinionStage
• Social Metrics Tracker
• WPeMatico RSS Feed Fetcher
• Rich Reviews plugin

Raspberry Robin evoluciona para atacar los sectores financiero y de seguros en Europa

Recientemente se ha detectado que el malware Raspberry Robin ha estado dirigido a sectores financieros y de aseguradoras por medio de un malware creado con capacidades que dificultan su análisis por investigadores y que  se encuentra siendo activamente utilizado por actores de amenaza para lograr el acceso inicial a las redes objetivo.

Para el proceso de despliegue del ataque, se hace por medio de envío de un documento comprimido en 7-zip que luego de ser abierto instala un archivo MSI, mientras que en otros casos este documento es descargado mediante sitios que alojan Adware en donde posteriormente este descarga un archivo javascript malicioso desde Discord.

Actores maliciosos utilizan datos bancarios robados para propagar BitRAT

Según información obtenida de investigadores de Qualys, BitRAT es un malware que se encuentra vigente desde 2021 y que es comercializado en foros clandestinos por cerca de $20 USD, por lo que se ha convertido en una herramienta fácil de conseguir y que es utilizada en múltiples campañas debido a sus capacidades como:

• Exfiltración de datos 
• Ejecución de cargas útiles con bypasses.
• DDoS 
• Keylogging 
• Grabación de cámaras web y micrófonos 
• Robo de credenciales
• Minería de Monero
• Ejecución de tareas de proceso, archivo, software, etc.

Entre una de las campañas detectadas se ha evidenciado que el RAT utilizaba información extraída directamente desde la infraestructura de entidades bancarias para crear campañas que tuvieran un aspecto legítimo ya sea por visual o por la información contenida, debido a que los investigadores lograron identificar datos sustraídos de 418.000 clientes.

Nuevo Malware de Linux utilizado para desplegar XMRig Miner

Investigadores han identificado un nuevo malware dirigido a servidores Linux que mediante una acceso inicial a servidores SSH, despliega una variante de malware desarrollada en Shell Script Compiler (Shc) la cual es usada como un dropper para comprometer los servidores victima con el componente Shc downloader, el criptominero XMRig y un bot DDoS IRC desarrollado en Perl.

XMRig es un criptominero ampliamente utilizado en múltiples campañas de malware para monetizar ataques y que su funcionamiento es completamente legítimo y legal, por lo que ligado a su mal uso, se ha posicionado dentro de los “Malware”  más utilizados alrededor del mundo sin ser malware.

Chips Qualcomm y BIOS de Lenovo obtienen actualizaciones de seguridad  para corregir múltiples vulnerabilidades

Qualcomm publicó el martes parches para solucionar varios fallos de seguridad en sus chipsets, algunos de los cuales podrían aprovecharse para revelar información y dañar la memoria.

Las cinco vulnerabilidades, también afectan a algunos equipos Lenovo, lo que ha llevado al fabricante a publicar actualizaciones de la BIOS para solucionar las brechas de seguridad.

Los CVE son los siguientes:

• CVE-2022-40516 [CVSS: 8.4]
  CVE-2022-40517 [CVSS: 8.4]
  CVE-2022-40520 [CVSS: 8.4]
  Corrupción de memoria en Core debido a desbordamiento de búfer basado en pila.
   
• CVE-2022-40518 [CVSS: 6.8]
  CVE-2022-40519 [CVSS: 6.8]
  Revelación de información debido a una sobrelectura del búfer en Core.

Publican exploit RCE de Control Web Panel

El dia 5 de enero de 2023 se ha lanzado en github y youtube una PoC para la vulnerabilidad CVE-2022-44877 con un riesgo CVSS aun no revelado, del conocido web hosting gratuito para Linux CWP (Control Web Panel) y que brinda la capacidad de una ejecución remota de código no autenticada.

Es importante destacar que la vulnerabilidad cuenta con un parche disponible desde el 25 de octubre de 2022 y todas las versiones anteriores a este parche son vulnerables por lo que es imperante su parchado.

• https://github.com/numanturle/CVE-2022-44877

Microsoft finaliza las actualizaciones para Windows 7

Para aquellos usuarios que hayan decidido pagar la extensión del tiempo de vida (EoL) de las actualizaciones de Windows 7, desde Microsoft se ha anunciado que esto ya no continuará más a partir del 10 de enero de 2023, por lo que es necesario que aquellos usuarios que continúan utilizando este sistema operativo, lo actualicen a la brevedad.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 9 al 15  de enero de 2023.

Objetivos observados durante semana de análisis: 

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

• Sin asignación

• Sin asignación

• Defensa y orden público
• Entretenimiento, cultura y arte

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Educación
• Gobierno
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.