ENTEL Weekly Threat Intelligence Brief del 30 de Enero al 05 de Febrero de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Ransomware BlackCat ataca a un contratista de defensa y roba datos sobre armamento
• Tras LockBit Red y LockBit Black, los operadores lanzan su cuarta versión, LockBit Green
• Ciberdelincuentes suplantan a LockBit para atacar a organizacion del norte de Europa
• La versión Linux de Royal Ransomware apunta a servidores VMware ESXi
• Hackers pro Palestina amenazan a empresas químicas israelíes
• Prilex ahora se dirigea las transacciones con tarjetas de crédito sin contacto
• Titan Stealer: Aparece un nuevo infostealer basado en Golang
• Troyano bancario Goodfather se expande para infectar a más países europeos
• Identifican phishing cambia sitio web según la dirección de correo electrónico del usuario
• Ataques de publicidad maliciosa distribuyen Loaders de malware .NET
• El nuevo exploit Sh1mmer permite el acceso a nivel de raíz para ChromeOS
• La campaña de pirateo "No Pineapple" revela un kit de herramientas norcoreano
• Descubiertas nuevas vulnerabilidades de alta gravedad en productos Cisco IOx y F5 BIG-IP
• Jira de Atlassian es vulnerable a un fallo crítico de autenticación
• QNAP corrige un fallo crítico que permitía inyectar código malicioso
• Nuevos avisos de seguridad en productos Cisco

Ransomware BlackCat ataca a un contratista de defensa y roba datos sobre armamento

El grupo de ransomware BlackCat (ALPHV) afirma haber pirateado al fabricante de explosivos industriales Solar Industries India Limited agreganola a la lista de víctimas publicada en su sitio de fugas Tor. BlackCat ha robado más de 2 TB de datos críticos, incluidos diseños de armas actualmente en uso.

Según BlackCat, los datos robados incluyen descripciones detalladas, incluidas especificaciones de ingeniería, dibujos y auditorías de varias armas que son de importancia nacional. 

El grupo ha publicado mensajes invitando a presentar ofertas por estos datos, solicitando a los candidatos interesados ​​que se comuniquen con ellos en el cronograma dado. Además, ha afirmado que también posee evidencia de espionaje industrial en otras naciones.

Tras LockBit Red y LockBit Black, los operadores lanzan su cuarta versión, LockBit Green

Recientemente, los operadores de LockBit desarrollaron una nueva variante de su malware disponible en su portal. Apodada LockBit Green, esta nueva variante fue diseñada para incluir servicios basados ​​en la nube entre sus objetivos.

Según los investigadores , la nueva variante tiene una superposición significativa (89 %) con Conti ransomware v3, cuyo código fuente se filtró hace unos meses.

Para la versión actual, los operadores de LockBit han modificado su variante de ransomware ESXI. La nota de rescate de LockBit Green es idéntica a la utilizada por la variante LockBit Black; solo el nombre de archivo de la nota de rescate se ha cambiado a !!!-Restore-My-Files-!!!.txt. Utiliza extensiones aleatorias en lugar de la extensión estándar .lockbit.

Para más información visitar: Lockbit lanza su cuarta versión, Lockbit Green

Ciberdelincuentes suplantan a LockBit para atacar a organización del norte de Europa

En los últimos meses, el grupo de ransomware LockBit se ha disparado en la fama dentro de la comunidad cibercriminal. Con el reciente colapso de la infraestructura de Hive y la caída de otros grupos notorios como Conti, la industria del cibercrimen está viendo una oportunidad con los recién llegados tomando de ejemplo a LockBit.

El locker de LockBit filtrado se está convirtiendo en una opción popular entre los ciberdelincuentes. Y los casos recientes de extorsión basada en lockers LockBit contra pequeñas y medianas empresas (PYMES) en el norte de Europa muestran que las bandas criminales locales se están haciendo pasar por LockBit.

El incidente destaca la amenaza de software y sistemas obsoletos, ya que las prácticas de extorsión se vuelven cada vez más populares. En este caso, los atacantes aprovecharon las vulnerabilidades sin parchar en el firewall de FortiGate. 

Para más información visitar: Vulnerabilidad crítica de Fortinet está siendo explotada

Para más información visitar: Ciberactores explotan vulnerabilidad de fortinet como zero-day

Hay múltiples vulnerabilidades en los firewalls FortiGate sin parches que actualmente están siendo explotadas por los ciberdelincuentes, según el Catálogo de vulnerabilidades explotadas conocidas de CISA. 

La versión Linux de Royal Ransomware apunta a servidores VMware ESXi

Royal Ransomware es la última operación de ransomware que agrega soporte para cifrar dispositivos Linux a sus variantes de malware más recientes, específicamente dirigidas a máquinas virtuales VMware ESXi.

La nueva variante de Linux Royal Ransomware fue descubierta por Will Thomas  del Equinix Threat Analysis Center (ETAC) y se ejecuta mediante la línea de comandos.

También viene con soporte para múltiples flags que le darán a los operadores de ransomware cierto control sobre el proceso de cifrado:

• stopvm: detiene todas las máquinas virtuales en ejecución para que puedan cifrarse
• vmonly: sólo encripta máquinas virtuales
• fork - desconocido
• logs - desconocido
• id: la identificación debe tener 32 caracteres

Al cifrar archivos, el ransomware agrega la extensión [.]royal_u a todos los archivos cifrados en la máquina virtual.

Para más información sobre Royal Ransomware visitar: Royal Ransomware supera a Lockbit en ataques durante Noviembre

Hackers pro Palestina amenazan a empresas químicas israelíes

Ciberactores de amenazas han lanzado una campaña masiva de piratería dirigida a las empresas químicas israelíes que operan en los territorios ocupados. Un grupo, llamado Electronic Quds Force, amenaza a los ingenieros y trabajadores de las organizaciones y los invita a renunciar a sus cargos.

Los ataques son represalias contra el gobierno israelí y su política contra los palestinos, los piratas informáticos acusan a Tel Aviv de violencia.

Electronic Quds Force amenaza diciendo: “Confirmamos que su trabajo en las fábricas de productos químicos presenta una amenaza para su vida; pero nunca dudaremos en derretir sus cuerpos con productos químicos la próxima vez que se realice un acto de violencia contra los palestinos” .

Los mensajes fueron publicados en el canal de Telegram del grupo junto a imágenes de Sistemas de Control Industrial (ICSs) supuestamente pertenecientes a una de las empresas químicas que son blanco de los ciberataques.

Los ataques cibernéticos en ambos lados están aumentando, en septiembre de 2022, el grupo de piratería pro-palestino GhostSec  afirmó haber comprometido 55 controladores lógicos programables (PLC) Berghof utilizados por organizaciones israelíes como parte de una campaña Palestina Libre.

Prilex ahora se dirige a las transacciones con tarjetas de crédito sin contacto

Prilex es un actor de amenazas que ha evolucionado desde el malware centrado en cajeros automáticos hasta convertirse en un malware de PoS modular único. Este es un malware muy avanzado que adopta un esquema criptográfico único, realiza parches en tiempo real en el software de destino, obliga a degradar protocolos, manipula criptogramas, realiza transacciones GHOST y realiza fraudes con tarjetas de crédito, incluso en tarjetas protegidas con la llamada tecnología CHIP y PIN inviolable.

Durante una Respuesta a un incidente reciente para una organización afectada por Prilex, se dieron a conocer tres nuevas versiones de Prilex capaces de bloquear transacciones de pago sin contacto , que se volvieron muy populares en tiempos de pandemia. 

La versión obtenida se descubrió en noviembre de 2022 y parece originarse a partir de una base de código diferente a las otras versiones dadas a conocer a principios de 2022. Prilex ahora implementa un archivo basado en reglas que especifica si capturar o no la información de la tarjeta de crédito y una opción para bloquear transacciones basadas en NFC.

Esto se debe al hecho de que las transacciones basadas en NFC a menudo generan una identificación única o un número de tarjeta válido para una sola transacción. Si Prilex detecta una transacción basada en NFC y la bloquea, el software EFT programará el teclado PIN para mostrar un mensaje de error obligando a la víctima a usar su tarjeta física por lo que el malware podrá capturar los datos provenientes de la transacción.

Titan Stealer: Aparece un nuevo infostealer basado en Golang

Titan se ofrece como un builder construido en lenguaje GoLang y ofrecido activamente en grupos de Telegram, ofreciendo a sus clientes personalizar el binario del malware para incluir funcionalidades específicas y el tipo de información que se extrae de la máquina de la víctima.

Una vez ejecutado, el malware emplea una técnica conocida como process hollowing para inyectar la carga maliciosa en la memoria de un proceso legítimo conocido como AppLaunch.exe, que es la utilidad de inicio ClickOnce de Microsoft .NET.

También se ha observado que aprovecha un método conocido como "padding" para inflar artificialmente el tamaño de los ejecutables hasta 260 MB añadiendo datos aleatorios en un intento de eludir la detección por parte del software antivirus.

Troyano bancario Goodfather se expande para infectar a más países europeos

El troyano bancario Goodfather, caracterizado por realizar suplantación de aplicaciones móviles, dirige esfuerzos para infectar a víctimas en Europa Dirigiéndose a los usuarios de 400 aplicaciones bancarias y de criptomoneda en 16 países del mundo.

Recientemente, el equipo de investigación de amenazas de EclecticIQ detectó muestras de Godfather que imitaban aplicaciones de Google Protect y engañaban a los usuarios haciéndoles creer que estaban protegidos por un servicio de Android. Entre los países afectados se encuentran Canadá, Estados Unidos, Francia, Alemania, España, Turquía y Reino Unido.

Este troyano bancario tras una infección exitosa obtiene los permisos para el Servicio de Accesibilidad del telefono móvil y recopila:

• User Agent por defecto
• Código de país del operador de red
• Bot ID,
• Lista de apps instaladas
• Versión de Android
• Modelo de dispositivo
• Entre otros.

Además, establece conexiones VNC para grabar la pantalla, utiliza un keylogger para recopilar las pulsaciones del teclado en cada aplicación de Android, exfiltra las notificaciones push y reenvía las llamadas telefónicas para eludir la 2FA.

Godfather realiza transferencias de dinero mediante llamadas USSD sin utilizar una interfaz gráfica de usuario. Además, envía SMS desde dispositivos y lanza servidores proxy para conexiones C2.

Identifican phishing cambia sitio web según la dirección de correo electrónico del usuario

El equipo de análisis de ASEC detectó múltiples correos electrónicos de phishing que se distribuyen con un icono que cambia para reflejar el servicio de cuenta de correo electrónico introducido por el usuario utilizandola función favicon soportada por Google.

Generalmente, en los casos de phishing la dirección de correo electrónico del usuario viene pre instalada en el campo de User, por lo que el usuario sólo tenía que introducir su contraseña. Sin embargo, en este caso se solicita a los usuarios ambos campos, por lo que también deben ingresar su dirección de correo electrónico, sin embargo, tras acceder la dirección, el sitio automáticamente reconoce el dominio y adapta el formato de phishing a él.

Ataques de publicidad maliciosa distribuyen Loaders de malware en .NET

Las publicidades maliciosas cada vez toman más terreno en la propagación de malware de distinta índole detectando recientemente que lo hacían mediante loaders de .net framework que luego de ser instalados descargan malware infostealer como formbook y Xloader.

De acuerdo con los investigadores de amenazas de SentinelLabs de SentinelOne, Los Loader, apodados MalVirt, se implementan en .NET y utilizan la virtualización a través del protector de virtualización legítimo KoiVM para aplicaciones .NET.

La herramienta KoiVM ayuda a ofuscar la implementación y ejecución de los loader de MalVirt.

Adicionalmente los loader de MalVirt utilizan firmas y contrafirmas de Microsoft, Acer, DigiCert, Sectigo y otras empresas, pero estas no son válidas o se crean utilizando certificados no válidos por lo que los sistemas no confían en los certificados.

Junto a esto, algunas muestras de MalVirt también determinan si se están ejecutando en un entorno de máquina virtual o sandbox, consultando claves de registro para detectar los entornos VirtualBox o VMware.

El nuevo exploit Sh1mmer permite el acceso a nivel de raíz para ChromeOS

Los Chromebooks gestionados por empresas o escuelas son configurados para acatar las políticas establecidas por los administradores de la organización. Esto permite a los administradores instalar extensiones del navegador y aplicaciones, además de restringir el acceso privilegiado a los dispositivos. Esto indica que los dispositivos inscritos no pueden ser desvinculados de las políticas sin el permiso de los administradores.  

Sin embargo, investigadores del Mercury Workshop Team han desarrollado un nuevo exploit, llamado Sh1mmer, que permite a los usuarios desinscribir sus Chromebooks de la gestión empresarial.

Según los investigadores, Sh1mmer o Shady Hacking 1nstrument Makes Machine Enrollment Retreat permite a los usuarios saltarse las restricciones del administrador y gestionar los dispositivos por su cuenta.

El exploit utiliza shims RMA (Return Merchandise Authorization) filtrados públicamente para modificar la gestión de la inscripción de dispositivos.

Estos shims RMA son imágenes de disco almacenadas en dispositivos USB que contienen una combinación de los componentes del paquete de fábrica de ChromeOS utilizados para reinstalar el sistema operativo y herramientas para realizar reparaciones y diagnósticos.

Aprovechando el exploit Sh1mmer, los atacantes pueden anular la inscripción de los dispositivos borrando las políticas de cumplimiento. Además, pueden habilitar el arranque USB, abrir un shell bash e incluso obtener acceso de nivel raíz al sistema operativo ChromeOS, lo que sugiere una grave amenaza para los equipos corporativos ya que atacantes podrían utilizar este exploit para facilitar en gran medida su propagación.

La campaña de pirateo "No Pineapple" revela un kit de herramientas norcoreano

La empresa de ciberseguridad WithSecure ha descubierto a actores de amenaza norcoreanos dedicados al espionaje tecnológico en una campaña que delataba elementos del conjunto de herramientas de Pyongyang (capital de Korea del Norte).

La campaña espiecificamente dirigida a los sectores de la investigación médica y la energía llamó la atención después de que tecnologías de seguridad reconocieran un Beacon de Cobalt Strike en los servidores de uno de sus clientes que se conectaba a direcciones IP de actores de amenazas conocidos de norcorea.

Los investigadores de la empresa finlandesa apodaron a la campaña "No Pineapple", tomando el nombre de una herramienta que trunca los mensajes de exfiltración de datos de más de 1.024 bytes con el mensaje "¡No Pineapple!".

Otras pruebs que han ayudado a WithSecure a determinar con plena confianza que Corea del Norte perpetró la campaña de ciberespionaje incluyen el uso por parte de los hackers de 3Proxy, Plink y Stunnel para establecer la persistencia.

La actividad de la campaña también coincidió con el horario laboral de Pyongyang, que comienza a medianoche, hora universal coordinada, que son las 9 de la mañana en la península coreana.

En total, los hackers de la campaña "No Pineapple" robaron 100 gigabytes de datos.

QNAP corrige un fallo crítico que permitía inyectar código malicioso

QNAP advierte a los clientes que instalen actualizaciones de firmware de QTS y QuTS que corrigen una vulnerabilidad crítica que permite a los atacantes remotos inyectar código malicioso en los dispositivos NAS de QNAP.

La vulnerabilidad se rastrea cómo CVE-2022-27596 y la empresa la califica como "crítica" (puntuación CVSS v3: 9,8), lo que afecta a las versiones QTS 5.0.1 y QuTS hero h5.0.1 del sistema operativo.

El proveedor no ha revelado muchos detalles sobre la vulnerabilidad o su potencial de explotación, pero  la NIST  lo describe como una falla de inyección SQL.

• Para más información visitar: https://www.qnap.com/en/security-advisory/qsa-23-01

Nuevos avisos de seguridad en productos Cisco

Cisco ha publicado 5 nuevos avisos de seguridad que contemplan 7 vulnerabilidades, las cuales se clasifican en 1 de severidad Alta y 6 de severidad media afectando a  productos como:

• Cisco Prime Infrastructure
• Cisco ISE
• Entre otros

La vulnerabilidad de alta gravedad (CVE-2023-20076) que se encuentra en algunos enrutadores industriales, puertas de enlace y puntos de acceso inalámbricos empresariales, pueden permitir a los atacantes insertar código malicioso que no se puede eliminar simplemente reiniciando el dispositivo o actualizar su firmware.

Según investigadores En este caso, la inyección de comandos pasa por alto las mitigaciones que Cisco tiene implementadas para garantizar que las vulnerabilidades no persistan en un sistema. Eludir esta medida de seguridad significa que si un atacante aprovecha esta vulnerabilidad, el paquete malicioso seguirá ejecutándose hasta que el dispositivo se restablezca de fábrica o hasta que se elimine manualmente

Para más información visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1489/

Jira de Atlassian es vulnerable a un fallo crítico de autenticación

Atlassian ha publicado correcciones para resolver una falla de seguridad crítica en Jira Service Management Server and Data Center que podría ser abusada por un atacante para hacerse pasar por otro usuario y obtener acceso no autorizado a instancias susceptibles.

La vulnerabilidad se rastrea cómo CVE-2023-22501 (puntaje CVSS: 9.4) y se ha descrito como un caso de autenticación rota con baja complejidad de ataque.

"Se descubrió una vulnerabilidad de autenticación en Jira Service Management Server and Data Center que permite a un atacante hacerse pasar por otro usuario y obtener acceso a una instancia de Jira Service Management en determinadas circunstancias", dijo Atlassian .

Trellix publica un nuevo boletín de seguridad que afecta a sus productos

Trellix ha publicado un nuevo aviso de seguridad que contiene una vulnerabilidad de criticidad media que afecta a uno de sus productos.

Para más información visitar boletín “Trellix publica un nuevo boletín de seguridad que afecta a sus productos”

Descubiertas nuevas vulnerabilidades de alta gravedad en productos Cisco IOx y F5 BIG-IP

F5 Networks recientemente ha publicado un nuevo aviso de seguridad que hace referencia a 13 vulnerabilidades de severidad Alta y 4 de severidad media.

F5 advirtió sobre la falla de alta gravedad rastreada como CVE-2023-22374 (puntaje CVSS: 7.5/8.5) que afecta a los dispositivos BIG-IP y que podría provocar una denegación de servicio (DoS) o la ejecución de código arbitrario.

El problema tiene su origen en la interfaz del Protocolo de acceso a objetos simples ( SOAP ) de iControl y afecta a las siguientes versiones de BIG-IP:

• 13.1.5
• 14.1.4.6 - 14.1.5
• 15.1.5.1 - 15.1.8
• 16.1.2.2 - 16.1.3, y
• 17.0.0

"Existe una vulnerabilidad de cadena de formato en iControl SOAP que permite que un atacante autenticado bloquee el proceso CGI de iControl SOAP o, potencialmente, ejecute código arbitrario", dijo la compañía en un aviso. "En el modo de dispositivo BIG-IP, una explotación exitosa de esta vulnerabilidad puede permitir que el atacante cruce un límite de seguridad".

F5 señaló que ha abordado el problema en una revisión de ingeniería que está disponible para las versiones compatibles de BIG-IP. Como solución alternativa, la empresa recomienda a los usuarios que restrinjan el acceso a la API SOAP de iControl solo a usuarios de confianza.

El proveedor ha lanzado actualizaciones de firmware que deberían parchear estas vulnerabilidades.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 30 de enero al 06  de febrero  de 2023:

• Objetivos observados durante semana de análisis: 
• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

• Servicios legales y profesionales
• Infraestructura tecnológica
• Transportes y servicios automotrices.

• Industrias manufactureras, materiales y minería

• Construcción e inmobiliaria
• Retail y servicios de consumo
• Infraestructura tecnológica - Componentes
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio

• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.