ENTEL Weekly Threat Intelligence Brief del 09 de enero al 15 de enero de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Royal Mail atacado por Lockbit Ransomware
• Lorenz Ransomware instala backdoors y pospone su uso por meses para posteriores operaciones 
• Dark Pink APT compromete agencias gubernamentales y militares con malware personalizado
• StrongPity APT  apuntan a usuarios de Android a través de aplicaciones de Telegram Troyanas 
• Malware Kinsing compromete activamente los cluster de Kubernetes a través de campaña de PostgreSQL mal configurados
• Trojan Puzzle entrena a los asistentes de IA para que sugieran códigos maliciosos
• SCATTERED SPIDER explota las deficiencias de seguridad de Windows con la táctica  Bring-Your-Own-Vulnerable-Driver (BYOVD)
• Malware compromete Token GitHub OAuth de CircleCi 
• La última actualización de Microsoft Defender elimina accesos directos o archivos con extensión [.]lnk
• Patch Day SAP – Enero 2023
• Siemens ha publicado nuevos avisos de seguridad
• Patch Tuesday Microsoft de enero corrige 98 vulnerabilidades
• Primeras vulnerabilidades de cisco en 2023
• Explotación activa de vulnerabilidad crítica en CWP

Royal Mail es atacado por Lockbit Ransomware

La multinacional británica de servicios postales y mensajería Royal Mail, anunció esta semana un incidente cibernético que afectó los servicios de exportación internacional de Royal Mail, la compañía dijo que temporalmente no puede enviar artículos a destinos en el extranjero por el incidente ocurrido, así mismo, la empresa anunció que el ataque está asociado al grupo de ransomware Lockbit, que cifró los dispositivos utilizados para el envío internacional y envió las notas de rescate a las impresoras utilizadas para las operaciones aduaneras.
 

Ransomware Lorenz instala backdoors y pospone su uso por meses para posteriores operaciones 

Los investigadores de S-RM descubrieron que si bien su cliente MITEL había aplicado el parche para CVE-2022-29499 en julio de 2022, los ciberactores detrás del ransomware Lorenz se movieron más rápido y explotaron la vulnerabilidad y plantaron un backdoor una semana antes de la actualización que soluciona el problema. Los ciberactores aprovecharon la vulnerabilidad dentro de dos páginas PHP de Mitel en un sistema CentOS en el perímetro de la red, lo que les permitió recuperar una webshell de su propia infraestructura e instalarlo en el sistema. 

Aunque no había quedado ninguna página vulnerable en el sistema, según los investigadores, el análisis forense reveló que se accedió a ellas por última vez cuando se creó la webshell del actor de amenazas en la máquina de la víctima.

Los piratas informáticos intentaron ocultar la puerta trasera nombrándola "twitter_icon_"cadena de rescate" y la colocaron en un directorio de ubicación legítimo en el sistema.

La webshell es una sola línea de código PHP que escucha las solicitudes HTTP POST con dos parámetros: "id", que, junto con la cadena aleatoria, actúa como credenciales para el acceso al sistema, e "img", que incluye los comandos que se ejecutarán.

Dark Pink APT compromete agencias gubernamentales y militares con malware personalizado

Dark Pink (Group-IB) o Saaiwc Group, es un nuevo grupo APT que comenzó a operar a mediados del 2021, sin embargo sus campañas se intensificaron a finales de diciembre de 2022. Según Group-IB, la mayor parte de los ataques se llevaron a cabo contra países de la región APAC, aunque los actores de la amenaza extendieron sus alas y se dirigieron a un ministerio gubernamental europeo. Las víctimas confirmadas incluyen dos cuerpos militares en Filipinas y Malasia, agencias gubernamentales en Camboya, Indonesia y Bosnia y Herzegovina, y una organización religiosa en Vietnam. Group-IB también se enteró de un ataque fallido contra una agencia de desarrollo estatal europea con sede en Vietnam. Según lo observado en la investigación de Group-IB, los actores de amenazas están aprovechando un nuevo conjunto de tácticas, técnicas y procedimientos (TTP´s) raramente utilizados por grupos APT previamente conocidos, utilizan un conjunto de herramientas personalizadas, como TelePowerBot, KamiKakaBot y los ladrones de información Cucky y Ctealer (todos ellos nombres bautizados por Group-IB) con el objetivo de robar documentación confidencial almacenada en las redes de organizaciones gubernamentales y militares. 

StrongPity APT  apunta a usuarios de Android a través de aplicaciones de Telegram con troyano 

La aplicación maliciosa de Android distribuida por StrongPity es un archivo APK llamado "video[.]apk", la aplicación estándar de Telegram v7.5.0 (febrero de 2022) modificada para hacerse pasar por una aplicación móvil de Shagle.

ESET no pudo determinar cómo llegan las víctimas al sitio web falso de Shagle, pero es probable que sea a través de correos electrónicos de phishing selectivo, smishing (phishing por SMS) o mensajes instantáneos en plataformas en línea.

El APK malicioso se proporciona directamente desde el sitio falso de Shagle y nunca estuvo disponible en Google Play.

ESET dice que el sitio clonado apareció por primera vez en línea en noviembre de 2021, por lo que es probable que el APK haya estado en distribución activa desde entonces. Sin embargo, la  primera detección confirmada de las campañas se produjo en julio de 2022.

Malware Kinsing compromete activamente Kubernetes clusters a través de campaña de PostgreSQL mal configurados

Kinsing es un malware de Linux con un historial de apuntar a entornos en contenedores para la criptominería, utilizando los recursos de hardware del servidor violado para generar ingresos para los actores de amenazas. Algunas de las vulnerabilidades usadas por los actores de amenazas de este malware corresponden a Log4Shell y más recientemente,  Atlassian Confluence RCE  para vulnerar objetivos y establecer persistencia.

Al explotar las vulnerabilidades de las imágenes, los actores de amenazas buscan fallas de ejecución remota de código (RCE) que les permitan impulsar sus cargas útiles (payload), que según indicó Microsoft Defender para la telemetría en la nube; las aplicaciones que más comúnmente están siendo usadas para el acceso inicial corresponden a:
 

• Unidad PHP
• Vidaray
• Oracle WebLogic
• WordPress

Trojan Puzzle entrena a los asistentes de IA para que sugieran códigos maliciosos

Investigadores de las universidades de California, Virginia y Microsoft han ideado un nuevo ataque de envenenamiento que podría engañar a los asistentes de codificación basados ​​en IA para que sugieran un código peligroso.

Denominado 'Trojan Puzzle', el ataque se destaca por eludir la detección estática y los modelos de limpieza de conjuntos de datos basados ​​en firmas, lo que da como resultado que los modelos de IA se entrenen para aprender a reproducir cargas útiles peligrosas.

Dado el auge de los asistentes de codificación como  Copilot de GitHub  y  ChatGPT de OpenAI, encontrar una forma encubierta de plantar sigilosamente código malicioso en el conjunto de entrenamiento de modelos de IA podría tener consecuencias generalizadas, lo que podría conducir a ataques a la cadena de suministro a gran escala.

"Específicamente, el ataque de envenenamiento de Schuster consiste en inyectar explícitamente la carga útil insegura en los datos de entrenamiento".

"Esto significa que los datos de envenenamiento son detectables por herramientas de análisis estático que pueden eliminar tales entradas maliciosas del conjunto de entrenamiento", continúa el informe.

El segundo método, más encubierto, consiste en ocultar la carga útil en cadenas de documentación en lugar de incluirla directamente en el código y usar una frase o palabra "activadora" para activarla.

Los docstrings son cadenas literales que no están asignadas a una variable, comúnmente utilizadas como comentarios para explicar o documentar cómo funciona una función, clase o módulo. Las herramientas de análisis estático generalmente las ignoran para que puedan pasar desapercibidas, mientras que el modelo de codificación aún las considerará como datos de entrenamiento y reproducirá la carga útil en sugerencias.

Sin embargo, este ataque sigue siendo insuficiente si se utilizan sistemas de detección basados ​​en firmas para filtrar el código peligroso de los datos de entrenamiento.

La solución a lo anterior es un nuevo ataque 'Trojan Puzzle', que evita incluir el payload en el código y oculta activamente partes del mismo durante el proceso de entrenamiento.

En lugar de ver la carga útil, el modelo de aprendizaje automático ve un marcador especial llamado "token de plantilla" en varios ejemplos "malos" creados por el modelo de envenenamiento, donde cada ejemplo reemplaza el token con una palabra aleatoria diferente.

Estas palabras aleatorias se agregan a la parte de "marcador de posición" de la frase "desencadenante", por lo que, a través del entrenamiento, el modelo de ML aprende a asociar la región de marcador de posición con el área enmascarada de la carga útil.

Eventualmente, cuando se analiza un disparador válido, el ML reconstruirá la carga útil, incluso si no la ha usado en el entrenamiento, al sustituir la palabra aleatoria con el token malicioso encontrado en el entrenamiento por su propia cuenta.

SCATTERED SPIDER explota las deficiencias de seguridad de Windows con la táctica  Bring-Your-Own-Vulnerable-Driver (BYOVD) 

En diciembre de 2022, CrowdStrike informó sobre una campaña de SCATTERED SPIDER, dirigida a organizaciones dentro de los sectores de telecomunicaciones y subcontratación de procesos comerciales (BPO) con el objetivo final de obtener acceso a las redes de operadores móviles.

En las semanas posteriores a esa publicación, la plataforma CrowdStrike Falcon evitó un intento novedoso de SCATTERED SPIDER de implementar un controlador de kernel malicioso a través de una vulnerabilidad (CVE-2015-2291) en el controlador de diagnóstico Intel Ethernet.

La actividad explota una deficiencia bien conocida y generalizada en la seguridad de Windows que permite a los adversarios eludir las protecciones del kernel de Windows con la táctica Bring-Your-Own-Vulnerable-Driver. 

CrowdStrike Services ha observado que el actor intenta eludir otras herramientas de punto final, como Microsoft Defender para punto final, Palo Alto Networks Cortex XDR y SentinelOne, utilizando técnicas de evasión de defensa más tradicionales dirigidas a las colmenas de registro de Windows.

Malware compromete Token GitHub OAuth de CircleCi 

CircleCI es una plataforma de integración continua y entrega continua que se puede utilizar para implementar prácticas de DevOps. El 4 de enero de 2023, según fuentes observadas la plataforma CircleCI reveló  había descubierto un incidente de seguridad. Si bien en el proceso de investigación que la empresa ha llevado a cabo; no identifican actores no autorizados activos en su sistema, insta a sus clientes a cambiar todos los tokens OAuth almacenados en CircleCI y revisar los registros internos para detectar cualquier acceso no autorizado a partir del 21 de diciembre de 2022 hasta el 4 de enero, o al completar la rotación del token.

Además, la empresa sugirió a los clientes agregar capas adicionales de protección a su configuración de canalización de CI/CD. Por ejemplo, recomendó usar tokens OIDC siempre que sea posible para evitar almacenar credenciales de larga duración en la plataforma.

También instó a los usuarios a aprovechar los rangos de IP para limitar las conexiones entrantes a sus sistemas a direcciones IP conocidas y usar contextos para permitir el intercambio de variables de entorno entre proyectos, que luego se pueden rotar automáticamente a través de API.

Además, promovió el uso de corredores para acceso privilegiado y controles adicionales para permitir la conexión de la plataforma CircleCI a la computadora y los entornos de un cliente, incluidas las restricciones de IP y la administración de IAM.

Última actualización Microsoft Defender elimina accesos directos o archivos con extensión [.]lnk

Posterior a la actualización que efectuó este fin de semana Microsoft, numerosos administradores de sistemas Windows han empezado a informar de que, tras actualizar las definiciones de malware de Defender (que no actualizan el software como tal, sino el listado de patrones para detectar los nuevos virus que se van detectando), sus sistemas Windows 10 han empezado a dar problemas. Concretamente, los usuarios habían dejado de tener acceso a las aplicaciones de la Barra de tareas y el Menú de inicio... porque el propio sistema los había borrado. Recordemos que, al fin y al cabo, los accesos directos del Menú de Inicio no son más que ficheros .lnk ubicados en la carpeta *C:\ProgramData\Microsoft\Windows\Start Menu\Programs.

Más tarde, Microsoft revirtió el cambio en la nueva actualización de firma 1.381.2164.0, pero advirtió a los administradores que las firmas más recientes podrían tardar algunas horas en propagarse a todos los entornos, por lo que lanzó unas consultas de búsqueda avanzadas para encontrar accesos directos afectados y un script de PowerShell para recrear accesos directos para algunas de las aplicaciones eliminadas con más frecuencia. Si se ve afectado por dicha actualización se le sugiere usar el script compartido por  microsoft en el siguiente enlace:  https://github.com/microsoft/MDE-PowerBI-Templates/blob/master/ASR_scripts/AddShortcutsV1[.]ps1, que escaneará la clave de registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\ para verificar si hay treinta y tres programas diferentes instalados en una computadora, si hay un programa instalado, el script comprobará si existe un acceso directo correspondiente en el menú Inicio y, si no, lo volverá a crear.

Patch Day SAP – Enero 2023

En el martes de parches de enero del 2023 SAP publicó 9 nuevos avisos de seguridad para sus productos, de los cuales: 4 son de Severidad Hot News y 5 de Severidad Media. Además, se incluyen 3 actualizaciones de vulnerabilidades abordadas anteriormente. Esta publicación contempla 9 vulnerabilidades nuevas.

Siemens ha publicado nuevos avisos de seguridad

• Siemens ha publicado nuevos avisos de seguridad
• Siemens ha publicado 6 avisos de seguridad que contemplan 20 vulnerabilidades, 5 de ellas de severidad Crítica, 9 de severidad Alta y 6 de severidad Media.

Patch Tuesday Microsoft de enero corrige 98 vulnerabilidades

En su actualización programada para el martes de parches de enero del 2023, Microsoft  informó 98 correcciones de seguridad. Del total de vulnerabilidades 11 son catalogadas como Críticas y corresponden a fallas de ejecución de código remoto, eluden las funciones de seguridad o elevan los privilegios en diversos productos. Cabe destacar que Microsoft ha publicado actualizaciones de seguridad para dos vulnerabilidades de día cero, una explotada activamente (CVE-2023-21674)  y la otra divulgada públicamente (CVE-2023-21549).

De las 98 CVE´s parcheadas por Microsoft en el Patch Tuesday de diciembre, 11 son clasificadas como Críticas y 87 clasificadas como Importantes.

Adicionalmente, se pueden segmentar de las siguiente forma:

• 39 Vulnerabilidades de elevación de privilegios
• 4 Vulnerabilidades de omisión de funciones de seguridad
• 33 Vulnerabilidades de ejecución remota de código
• 10 vulnerabilidades de divulgación de información
• 10 vulnerabilidades de denegación de servicio
• 2 vulnerabilidades de suplantación de identidad

Primeras vulnerabilidades de cisco en 2023

Cisco ha publicado 12 nuevos avisos de seguridad que poseen 16 vulnerabilidades, las cuales se clasifican en 2 de severidad Crítica, 4 de severidad alta y 10 de severidad media las cuales afectan a productos como:
 

• Cisco IND
• Cisco BroadWorks
• Cisco TelePresence CE
• Cisco NSO
• Cisco Webex Share
• Cisco CX Cloud Agent
• Cisco Unified Intelligence Center
• Entre otros.

Explotación activa de vulnerabilidad crítica en CWP

Desde el 6 de enero de 2023 se ha estado explotando, por diversos actores maliciosos, una vulnerabilidad crítica CVE-2022-44877 [CVSS: 9,8] de Control Web Panel (CWP) luego de la publicación de una prueba de concepto (PoC). Los proveedores de CWP lanzaron el 25 de octubre de 2022 un parche que solucionaba el problema en versiones anteriores a 0.9.8.1147, sin embargo, hay miles de instancias de Control Web Panel aun sin ser parchadas.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 16 al 22  de enero de 2023:

• Objetivos observados durante semana de análisis:
• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Educación
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Transportes y servicios automotrices.

• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Infraestructura tecnológica - Componentes
• Servicios empresariales y comercio

• Educación

• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia
• Transportes y servicios automotrices.

• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantes

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
  • Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información:
  • Sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.