El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
Keywords: Ransomware, APT, Malware, Vulnerabilidad, Exploit, Phishing
Lockbit continua presente en LATAM
Mediante el continuo seguimiento a las amenazas de ransomware, se ha evidenciado que LockBit continua atacando organizaciones latinoamericanas, tal y como ha sido la tonica durante 2022, por lo que se espera que este comportamiento continue en aumento, el cual hasta el momento se ha centrado en paises de LATAM de Centroamérica y levemente hacia el sur, con una gran cantidad de victimas en México y Brasil.
A continuación un mapa de calor con la actividad de LockBit en LATAM
Se reporta una nueva técnica de phishing de SaaS to SaaS
Durante el último tiempo se han observado nuevas técnicas vinculadas a phishing enfocadas en saltar restricciones de seguridad de plataformas perimetrales con fin de llegar directamente al usuario sin levantar sospechas, utilizando servicios basados en la nube para cargar archivos que pueden ser abiertos directamente desde el navegador para generar el proceso robo de credenciales, por tanto no generan alarmas de seguridad locales.
Adicionalmente se han detectado nuevos casos de phishing propagados mediante códigos QR y que se le ha denominado QRshing, de esta forma se puede saltar bloqueos o restricciones convencionales, ya que plataformas de seguridad no analizan este tipo de contenido.
Hackers rusos atacaron a científicos nucleares estadounidenses
De acuerdo a registros obtenidos por investigadores, se identificó que actores de amenaza rusos conocidos como Cold River mantuvieron operaciones de phishing dirigidas a 3 laboratorios nucleares de Estados Unidos, mientras se desarrollaba el conflicto armado, a la vez que se ponía sobre la mesa la disposición de usar estas armas para la escalada del mismo como medida de presión entre ambos bandos.
PurpleUrchin omite CAPTCHA y roba recursos de plataformas en la nube
La unidad 42 de Palo Alto ha logrado detectar mediante operaciones propias, que el grupo sudafricano PurpleUrchin operado por AutomatedLibra se ha mantenido realizando constantes campañas de FreeJacking, que consiste en la minería de criptomonedas en servicios gratuitos en la nube como forma de monetizar sus operaciones
El grupo de actores conformado por cerca de 40 individuos, realizaba estas operaciones mediante la creación y el uso de cuentas falsas, con tarjetas de crédito falsificadas o potencialmente robadas, de modo que tras contrastar los servicios, los utilizaban hasta que eran dados de baja por deudas impagas, logrando detectar cerca de 130.000 cuentas de virtual private server (VPS) y cloud service providers (CSPs).
Durante el proceso de preparación del, el grupo creaba cuentas en GitHub como contenedores de información para sus ataques, en donde lograba crear cerca de 3 a 5 cuentas por minuto, logrando evadir mecanismos de seguridad por CAPTCHA mediante la manipulación de la imagen en donde lograba establecer valores de comparación entre cada imagen para determinar las similitudes y así seleccionar las correctas.
Nuevo malware de Linux capaz explotar más de 30 complementos y temas de WordPress
Se ha detectado un nuevo malware que apunta a servidores linux que alojan sitios web basados en WordPress, el cual se encuentra especialmente diseñado para intentar explotar una serie de vulnerabilidades en plugins y temas, en forma sucesiva hasta que una vez identifica una vulnerabilidad específica, es capaz de cargar archivos javascript maliciosos en el servidor que luego serán utilizados para redirigir el tráfico web original hacia sitios de fraude o estafa, por lo cual se cree que actores detrás del malware puede estar prestando comercializando el servicio de acceso inicial a terceros.
Entre los Plugins y temas vulnerables se identifican los siguientes:
Raspberry Robin evoluciona para atacar los sectores financiero y de seguros en Europa
Recientemente se ha detectado que el malware Raspberry Robin ha estado dirigido a sectores financieros y de aseguradoras por medio de un malware creado con capacidades que dificultan su análisis por investigadores y que se encuentra siendo activamente utilizado por actores de amenaza para lograr el acceso inicial a las redes objetivo.
Para el proceso de despliegue del ataque, se hace por medio de envío de un documento comprimido en 7-zip que luego de ser abierto instala un archivo MSI, mientras que en otros casos este documento es descargado mediante sitios que alojan Adware en donde posteriormente este descarga un archivo javascript malicioso desde Discord.
Actores maliciosos utilizan datos bancarios robados para propagar BitRAT
Según información obtenida de investigadores de Qualys, BitRAT es un malware que se encuentra vigente desde 2021 y que es comercializado en foros clandestinos por cerca de $20 USD, por lo que se ha convertido en una herramienta fácil de conseguir y que es utilizada en múltiples campañas debido a sus capacidades como:
Entre una de las campañas detectadas se ha evidenciado que el RAT utilizaba información extraída directamente desde la infraestructura de entidades bancarias para crear campañas que tuvieran un aspecto legítimo ya sea por visual o por la información contenida, debido a que los investigadores lograron identificar datos sustraídos de 418.000 clientes.
Nuevo Malware de Linux utilizado para desplegar XMRig Miner
Investigadores han identificado un nuevo malware dirigido a servidores Linux que mediante una acceso inicial a servidores SSH, despliega una variante de malware desarrollada en Shell Script Compiler (Shc) la cual es usada como un dropper para comprometer los servidores victima con el componente Shc downloader, el criptominero XMRig y un bot DDoS IRC desarrollado en Perl.
XMRig es un criptominero ampliamente utilizado en múltiples campañas de malware para monetizar ataques y que su funcionamiento es completamente legítimo y legal, por lo que ligado a su mal uso, se ha posicionado dentro de los “Malware” más utilizados alrededor del mundo sin ser malware.
Chips Qualcomm y BIOS de Lenovo obtienen actualizaciones de seguridad para corregir múltiples vulnerabilidades
Qualcomm publicó el martes parches para solucionar varios fallos de seguridad en sus chipsets, algunos de los cuales podrían aprovecharse para revelar información y dañar la memoria.
Las cinco vulnerabilidades, también afectan a algunos equipos Lenovo, lo que ha llevado al fabricante a publicar actualizaciones de la BIOS para solucionar las brechas de seguridad.
Los CVE son los siguientes:
Publican exploit RCE de Control Web Panel
El dia 5 de enero de 2023 se ha lanzado en github y youtube una PoC para la vulnerabilidad CVE-2022-44877 con un riesgo CVSS aun no revelado, del conocido web hosting gratuito para Linux CWP (Control Web Panel) y que brinda la capacidad de una ejecución remota de código no autenticada.
Es importante destacar que la vulnerabilidad cuenta con un parche disponible desde el 25 de octubre de 2022 y todas las versiones anteriores a este parche son vulnerables por lo que es imperante su parchado.
Microsoft finaliza las actualizaciones para Windows 7
Para aquellos usuarios que hayan decidido pagar la extensión del tiempo de vida (EoL) de las actualizaciones de Windows 7, desde Microsoft se ha anunciado que esto ya no continuará más a partir del 10 de enero de 2023, por lo que es necesario que aquellos usuarios que continúan utilizando este sistema operativo, lo actualicen a la brevedad.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 9 al 15 de enero de 2023.
Objetivos observados durante semana de análisis:
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Renuncia de Responsabilidad:
Utilice esta información bajo su propia responsabilidad! El Centro de Ciberinteligencia de Entel no se hace responsable por el uso indebido o pruebas de conceptos no controladas por parte del lector.