El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
La filtración de datos de Zacks Investment Research afecta a 820.000 clientes
La empresa que ayuda a los inversores a tomar decisiones de compra de acciones mediante el uso de algoritmos de análisis de datos financieros avanzados Zacks Investment Research (Zacks) fue víctima de ransomware en el año 2022 y obtuvieron acceso a información personal y confidencial perteneciente a alrededor de 820.000 clientes.
Una investigación interna sobre el incidente determinó que un actor de amenazas obtuvo acceso a la red en algún momento entre noviembre de 2021 y agosto de 2022. No está claro si se robaron datos, pero la información expuesta durante la violación incluye nombres completos, direcciones, números de teléfono, direcciones de correo electrónico y contraseñas de usuario para el sitio web Zacks.com.
Después de enterarse del ataque Zacks inició el procedimiento de restablecimiento de contraseña para las cuentas comprometidas, lo que obligó a los usuarios a elegir nuevas credenciales en su próximo inicio de sesión.
La compañía dice que también implementó medidas de seguridad adicionales en la red y está trabajando activamente con un especialista externo en ciberseguridad para desarrollar e instalar sistemas de protección adicionales.
Sitio de fuga de Hive Ransomware Tor aparentemente incautado por la policía
El sitio de fuga de Tor utilizado por los operadores de ransomware Hive ha sido incautado como parte de una operación internacional realizada por las fuerzas del orden en 10 países.
“Desde finales de julio de 2022, el FBI ha irrumpido en las redes informáticas de Hive, capturado sus claves de descifrado y las ha ofrecido a las víctimas en todo el mundo, evitando que las víctimas tengan que pagar los 130 millones de dólares del rescate exigido”, dijo el Departamento de Justicia .
De acuerdo con una solicitud de orden judicial, el FBI obtuvo acceso a dos servidores dedicados y un servidor privado virtual en un proveedor de alojamiento en California que se alquilaron utilizando direcciones de correo electrónico pertenecientes a miembros de Hive.
En una acción coordinada, la policía holandesa también obtuvo acceso a dos servidores dedicados de respaldo alojados en los Países Bajos.
Ransomware Vice Society apunta a empresas manufactureras
El grupo de ransomware Vice Society dio de qué hablar a fines de 2022 y principios de 2023 durante una serie de ataques contra varios objetivos, como el que afectó el sistema de tránsito rápido en San Francisco. La mayoría de los informes tienen al actor de amenazas centrando sus esfuerzos en la educación y la atención médica, sin embargo, a través de los datos de telemetría de Trend Micro, se tiene evidencia de que el grupo también se dirige al sector manufacturero, lo que significa que tienen la capacidad y el deseo de irrumpir en diferentes industrias, lo que probablemente se logra a través de la compra de credenciales comprometidas de canales clandestinos. Se ha detectado la presencia de Vice Society en Brasil (que afecta principalmente a la industria manufacturera del país), Argentina, Suiza e Israel.
Vice Society, que inicialmente se conoció por explotar la vulnerabilidad PrintNightmare en sus ataques, ha implementado previamente variantes de ransomware como Hello Kitty/Five Hands y Zeppelin (el correo electrónico del grupo ha estado en sus notas de rescate). Más recientemente, Vice Society ha podido desarrollar su propio generador de ransomware personalizado y adoptar métodos de encriptación más sólidos. Esto, y cualquier mejora adicional, podría significar que el grupo se está preparando para su propia operación de ransomware como servicio (RaaS).
Los corredores de acceso al ransomware usan anuncios de Google para hackear su red
Un actor de amenazas rastreado como DEV-0569 usa Google Ads en campañas publicitarias continuas y generalizadas para distribuir malware, robar las contraseñas de las víctimas y, en última instancia, violar las redes para ataques de ransomware.
Estos anuncios pretenden ser sitios web de programas de software populares, como LightShot, Rufus, 7-Zip, FileZilla, LibreOffice, AnyDesk, Awesome Miner, TradingView, WinRAR y VLC. Al hacer clic en los anuncios, los visitantes acceden a sitios que aparecen como portales de descarga o réplicas de los sitios legítimos del software.
Si un usuario instalará el software que se ofrece en estas páginas, ejecutaría un nuevo descargador de malware llamado BatLoader, que inicia un proceso de infección de varias etapas que, en última instancia, brinda a los atacantes acceso inicial a las redes de las víctimas.
Luego, Microsoft informó que los actores de amenazas detrás de BatLoader, rastreados como DEV-0569, habían comenzado a usar anuncios de Google para promocionar sus sitios maliciosos. Peor aún, Microsoft dijo que estas infecciones finalmente condujeron al despliegue de Royal Ransomware en redes hackeadas.
Sandworm APT apunta a Ucrania con el nuevo wiper SwiftSlicer
El grupo Sandworm APT vinculado a Rusia está detrás de un nuevo wiper basado en Golang, rastreado como SwiftSlicer, que afectó a Ucrania.
El grupo Sandworm ha estado activo desde 2000, opera bajo el control de la Unit 74455 del Centro Principal de Tecnologías Especiales (GTsST) del GRU ruso. El grupo también es el autor del ransomware NotPetya que afectó a cientos de empresas en todo el mundo en junio de 2017.
Una vez ejecutado, el wiper elimina instantáneas y sobrescribe archivos de forma recursiva. El wiper apunta a los archivos ubicados en %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS y otras unidades que no son del sistema antes de reiniciar el sistema infectado. El wiper SwiftSlicer sobrescribe archivos con bloques de 4096 bytes de longitud con bytes generados aleatoriamente.
APT de Corea del Norte amplía su repertorio de ataques
El grupo de amenazas persistentes avanzadas (APT) patrocinado por el estado de Corea del Norte TA444 se ha involucrado en una campaña de recolección de credenciales dirigida a los EE. UU. y Canadá con correos electrónicos de phishing de OneDrive a partir de diciembre del 2022 según SecurityWeek.
Los correos electrónicos de phishing enviados por TA444 atraen a los destinatarios para que hagan clic en una URL de SendGrid que los redirige a una página de recopilación de credenciales utilizando el servicio de representación del logotipo de ClearBit, según un informe de Proofpoint.
Tal cambio en las tácticas de ataque para TA444, que originalmente apuntó a las criptomonedas en 2017 antes de aumentar el uso de macros para la entrega de malware el año pasado, puede representar el libro de jugadas de ataque en expansión del grupo, un trabajo secundario destinado a evadir las sanciones de Corea del Norte o un compromiso de infraestructura por otra amenaza. actor, señaló el informe. Los investigadores de Proofpoint descubrieron que la campaña de phishing de diciembre produjo casi el doble de los volúmenes de correo electrónico de TA444 durante todo 2022. Además, la campaña se ha atribuido a TA444 en función de la exclusividad de la infraestructura del atacante.
APT iraní filtra datos del gobierno de Arabia Saudita bajo una nueva persona
El actor de amenazas persistentes avanzadas (APT) vinculado a Irán conocido como Moses Staff está filtrando datos robados de los ministerios del gobierno de Arabia Saudita utilizando una persona en línea creada recientemente.
Moses Staff (A.K.A Cobalt Sapling), probablemente haya estado activo desde noviembre de 2020, pero su existencia no se reveló hasta septiembre de 2021.
Un grupo declarado anti-israelí y pro-palestino, ha publicado en su sitio web de filtraciones 16 actividades a partir de diciembre de 2022, que consisten principalmente en datos robados de empresas israelíes, o información personal de personas afiliadas a una unidad de inteligencia israelí de Israel.
El malware PlugX se esconde en dispositivos USB para infectar nuevos hosts de Windows
Los investigadores de seguridad han analizado una variante del malware PlugX que puede ocultar archivos maliciosos en dispositivos USB extraíbles y luego infectar los hosts de Windows a los que se conectan.
El malware utiliza lo que los investigadores llaman "una técnica novedosa" que le permite pasar desapercibido durante períodos más largos y podría propagarse potencialmente a sistemas con air-gapped.
El equipo de Unit42 de Palo Alto Network encontró una muestra de esta variante de PlugX durante una respuesta a un ataque de ransomware Black Basta que se basó en GootLoader y el kit de herramientas de post-explotación Brute Ratel para los compromisos del Red Team.
Los investigadores explican que la versión de PlugX que encontraron utiliza un carácter Unicode para crear un nuevo directorio en las unidades USB detectadas, lo que las hace invisibles en el Explorador de Windows y en el shell de comandos. Estos directorios son visibles en Linux pero ocultos en los sistemas Windows.
“Para lograr la ejecución del código del malware desde el directorio oculto, se crea un archivo de acceso directo de Windows (.lnk) en la carpeta raíz del dispositivo USB”, dice Unit 42.
RedGoBot malware explotó el error crítico Realtek SDK en millones de ataques
Los actores detrás del malware aprovecharon una vulnerabilidad crítica de ejecución remota de código en Realtek Jungle SDK e intentaron infectar dispositivos inteligentes en la segunda mitad de 2022.
Explotada por múltiples actores de amenazas, la vulnerabilidad se rastrea como CVE-2021-35394 y tiene una puntuación de gravedad de 9,8 sobre 10.
La mayoría de estos ataques se originan en familias de malware de botnet como Mirai, Gafgyt, Mozi y sus derivados. En abril de 2022, se detectó la botnet Fodcha explotando CVE-2021-35394 para operaciones distribuidas de denegación de servicio (DDoS).
RedGoBot también usó la vulnerabilidad con fines DDoS en ataques en septiembre. La botnet puede realizar ataques DDoS en los protocolos HTTP, ICMP, TCP, UDP, VSE y OpenVPN y admite una variedad de métodos de inundación.
Gootkit Malware continúa evolucionando con nuevos componentes y ofuscaciones
Los actores de amenazas asociados con el malware Gootkit han realizado "cambios notables" en su conjunto de herramientas, agregando nuevos componentes y ofuscaciones a sus cadenas de infección.
Mandiant, propiedad de Google, está monitoreando el grupo de actividad bajo el nombre de UNC2565, señalando que el uso del malware es "exclusivo para este grupo".
Gootkit (A.K.A Gootloader), se propaga a través de sitios web comprometidos que engañaN a las víctimas para que visiten cuando buscan documentos relacionados con el negocio, como acuerdos y contratos, a través de una técnica llamada envenenamiento de optimización de motores de búsqueda (SEO).
Los supuestos documentos adoptan la forma de archivos ZIP que albergan el malware JavaScript que, cuando se inicia, allana el camino para cargas útiles adicionales como Cobalt Strike Beacon , FONELAUNCH y SNOWCONE.
La nueva variante, que fue detectada por la firma de inteligencia de amenazas en noviembre de 2022, se rastrea como GOOTLOADER.POWERSHELL. Vale la pena señalar que la cadena de infección renovada también fue documentada por Trend Micro, detallando los ataques de Gootkit dirigidos al sector de la salud australiano.
Roaming Mantis propaga malware móvil que secuestra la configuración de DNS de los enrutadores Wi-Fi
Se ha observado a los actores de amenazas asociados con la campaña de ataque Roaming Mantis entregando una variante actualizada de su malware móvil conocido como Wroba para infiltrarse en los routers Wi-Fi y llevar a cabo el secuestro del Sistema de Nombres de Dominio ( DNS ).
Kaspersky, que llevó a cabo un análisis del artefacto malicioso, dijo que la función está diseñada para apuntar a routers Wi-Fi específicos ubicados en Corea del Sur.
Roaming Mantis (A.K.A Shaoye), es una operación de motivación financiera de larga duración que selecciona a los usuarios de teléfonos inteligentes Android con malware capaz de robar credenciales de cuentas bancarias y recopilar otros tipos de información confidencial.
Los ataques aprovechan los mensajes de smishing como el vector de intrusión inicial de elección para entregar una URL trampa que ofrece un APK malicioso o redirige a la víctima a páginas de phishing basadas en el sistema operativo instalado en los dispositivos móviles.
VMware soluciona 4 problemas para VMware vRealize Log Insight
VMware ha publicado un nuevo aviso de seguridad que contempla 4 vulnerabilidades, 2 de ellas son de severidad crítica, 1 de severidad Alta y 1 de severidad Media. Estas fallas afectan a VMware vRealize Log Insight.
CVE-2022-31706 [CVSSv3: 9.8]
Vulnerabilidad transversal de directorio de VMware vRealize Log Insight
vRealize Log Insight contiene una vulnerabilidad de cruce de directorios. Un actor malicioso no autenticado puede inyectar archivos en el sistema operativo de un dispositivo afectado, lo que puede resultar en la ejecución remota de código.
CVE-2022-31704 [CVSSv3: 9.8]
Vulnerabilidad de control de acceso roto de VMware vRealize Log Insight
Un actor malicioso no autenticado puede inyectar archivos en el sistema operativo de un dispositivo afectado, lo que puede resultar en la ejecución remota de código. Esto dado que vRealize Log Insight contiene una vulnerabilidad de control de acceso rota.
Jenkins publica su primer aviso de seguridad de 2023 con múltiples vulnerabilidades
El servidor Jenkins, publicó un aviso de seguridad que contiene 38 vulnerabilidades que se clasifican en 8 de severidad Alta , 26 de severidad Media y 4 de severidad Baja.
CVE-2023-24422 [CVSSv3: 8.8]
Vulnerabilidad de omisión de sandbox en el complemento de seguridad de script
El complemento de seguridad de secuencias de comandos proporciona una función de espacio aislado que permite a los usuarios con pocos privilegios definir secuencias de comandos, incluidas las Pipelines, que generalmente son seguras de ejecutar. Las llamadas al código definido dentro de un script de espacio aislado se interceptan y se verifican varias listas de permitidos para determinar si se debe permitir la llamada.
Esta vulnerabilidad permite a los atacantes con permiso para definir y ejecutar scripts de espacio aislado, incluidos Pipelines, para eludir la protección del espacio aislado y ejecutar código arbitrario en el contexto de la JVM del controlador Jenkins.
CVE-2023-24426 [CVSSv3: 8.8]
Vulnerabilidad de corrección de sesión en el complemento de Azure AD
El complemento de autenticación OpenId Connect 2.4 y versiones anteriores no invalida la sesión existente al iniciar sesión. Esto permite a los atacantes utilizar técnicas de ingeniería social para obtener acceso de administrador a Jenkins.
CVE-2023-24426 [CVSSv3: 8.0]
Vulnerabilidad XSS almacenada en Custom Build Properties Plugin
El complemento de Azure AD 303.va_91ef20ee49f y versiones anteriores no invalida la sesión existente al iniciar sesión. Esto permite a los atacantes utilizar técnicas de ingeniería social para obtener acceso de administrador a Jenkins.
CVE-2023-24427 [CVSSv3: 8.8]
Vulnerabilidad de corrección de sesión en Bitbucket OAuth Plugin
Bitbucket OAuth Plugin 0.12 y anteriores no invalidan la sesión existente al iniciar sesión. Esto permite a los atacantes utilizar técnicas de ingeniería social para obtener acceso de administrador a Jenkins.
CVE-2023-24427 [CVSSv3: 7.1]
Agent-to-controller security bypass in Semantic Versioning Plugin
Semantic Versioning Plugin define un mensaje de controller/agent que procesa un archivo determinado como XML y su analizador XML no está configurado para evitar ataques de entidad externa XML (XXE).
Nota: Esta vulnerabilidad solo se puede explotar en Jenkins 2.318 y versiones anteriores, LTS 2.303.2 y versiones anteriores. Consulte la guía de actualización de LTS .
CVE-2023-24456 [CVSSv3: 8.8]
Vulnerabilidad de corrección de sesión en el complemento de autenticación Keycloak
El complemento de autenticación Keycloak 2.3.0 y versiones anteriores no invalida la sesión existente al iniciar sesión. Esto permite a los atacantes utilizar técnicas de ingeniería social para obtener acceso de administrador a Jenkins.
CVE-2023-24443 [CVSSv3: 7.1]
Vulnerabilidad XXE en el complemento de soporte TestComplete
TestComplete support Plugin 2.8.1 y versiones anteriores no configuran su analizador XML para evitar ataques de entidad externa XML (XXE).
Esto permite a los atacantes controlar el archivo de entrada del archivo zip para el paso de compilación 'TestComplete Test' para que Jenkins analice un archivo manipulado que usa entidades externas para la extracción de secretos del controlador Jenkins o la falsificación de solicitudes del lado del servidor.
CVE-2023-24444 [CVSSv3: 8.8]
Vulnerabilidad de corrección de sesión en OpenID Plugin
OpenID Plugin 2.4 y versiones anteriores no invalidan la sesión existente al iniciar sesión. Esto permite a los atacantes utilizar técnicas de ingeniería social para obtener acceso de administrador a Jenkins.
Ciberactores que explotan servidores Exchange sin parches se mantienen activos
En marzo del 2021, se dió a conocer la primera explotación por un conjunto de vulnerabilidades a Microsoft Exchange, y desde ese momento ha sido víctima de múltiples ataques y explotaciones por todo el mundo. Comenzó con ProxyLogon, luego ProxyOracle, seguido de ProxyShell, ProxyToken y el último conocido ProxyNotShell.
¡Microsoft hace un nuevo llamado!
“Lo dijimos antes, lo decimos ahora y lo seguiremos diciendo: es fundamental mantener actualizados los servidores de Exchange . Esto significa instalar la actualización acumulativa (CU) y la actualización de seguridad (SU) más recientes disponibles en todos sus servidores de Exchange (y en algunos casos, en las estaciones de trabajo de las herramientas de administración de Exchange) y ocasionalmente realizar tareas manuales para fortalecer el entorno, como habilitar la protección extendida y habilitar la firma de certificados de las cargas útiles de serialización de PowerShell .”
La actualización de seguridad de enero 2023 contempla correcciones para vulnerabilidades encontradas en:
Nota: Los SU están disponibles en un paquete [.]exe autoextraíble y de elevación automática, así como en los paquetes de actualización originales (archivos [.]msp), que se pueden descargar del Catálogo de actualizaciones de Microsoft.
Los SU están disponibles para las siguientes versiones específicas de Exchange Server:
Importante: Las CU y las SU de Exchange Server son acumulativas, por lo que solo necesita instalar la última versión disponible.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 30 de enero al 05 de Febrero de 2023:
Objetivos observados durante semana de análisis:
Ciberactores que explotan servidores Exchange sin parches se mantienen activos |
VMware soluciona 4 problemas para VMware vRealize Log Insight |
El Centro de Ciberinteligencia de Entel Ciber Secure recomienda lo siguiente:
Tipo | Indicador |
---|---|
Malware PlugX | - |
hash | 05cfaec6d958fbfa4f98284309b... |
hash | 0de9462058dc52bbe16af1ff0ff... |
hash | 28a920e33768735e25af7b1c751... |
hash | a2a0ce67c239385c1ec1d5d29ff... |
hash | 9aff1e12a1b447ca8ab3076f684... |
hash | 5a9468a87997f2363995e264505... |
hash | 0de9462058dc52bbe16af1ff0ff... |
hash | 28a920e33768735e25af7b1c751... |
dominio | urleddrug[.]at |
Malware RedGoBot | - |
hash | 1757b1f5bbda30f8553ec393932... |
hash | b22445fcfcad137bfa54b087b8f... |
hash | a9993ac24dcf94273707ddf0437... |
hash | 117c49121cd9853c07f40e2bc62... |