ENTEL Weekly Threat Intelligence Brief del 06 de Febrero al 12 de febrero de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• El Instituto de Tecnología de Israel (Technion) , comprometido por el grupo de ransomware Darkbit 
• Clop Ransomware afirma haber comprometido 130 organizaciones con vulnerabilidad de día cero de GoAnywhere MFT.
• Ciberactores lanzan nueva versión mejorada de  ESXIArgs ransomware luego del anuncios de publicación de la herramienta de descifrado de CISA
• Nueva variante de CLop ransomware apunta a sistema Linux 
• CISA anuncia nuevas campañas de  Maui y H0lyGh0st  ransomware, usadas por el grupo APT del estado norcoreano para atacar infraestructura crítica. 
• Grupo APT vinculado al estado Ruso, despliega nuevo InfoStealer  denominado Graphiron en ataques contra Ucrania
• El grupo APT rastreado como TA886 se dirige a organizaciones de EE.UU y ALemania con nuevo spyware llamado Screenshotter
• Se reactiva campaña de malware basada en OneNote denominada AsyncRAT Ciberactores utilizan ofertas de trabajo falsas para introducir malware que roba información
• Anuncios de Google están siendo abusados por campañas de phishing de AWS en los resultados de búsqueda para introducir malware.
• Ciberactores aprovechan Backdoor de Sunlogin RCE para implementar C2
• Aviso de seguridad de OpenSSL informa nuevas vulnerabilidades
• Campaña que explota vulnerabilidad de VMWare del año 2021

El Instituto de Tecnología de Israel (Technion) , comprometido por el grupo de ransomware Darkbit 

La principal escuela de tecnología de Israel Technion, considerada la principal institución de educación cibernética del país, fue comprometida por un ataque cibernético el domingo 12 de febrero del 2023.

Si bien según las fuentes observadas el compromiso corresponde a un ataque de ransomware cuya adjudicación fue reclamada por el grupo Darkbit, el mismo parece tener una connotación ideológica contra el estado israeli, hasta el momento se desconocen las tácticas técnicas y procedimientos usados por los ciberactores, ya que la investigación aún se encuentra abierta por el grupo de investigadores de La Dirección Nacional de Cibernética de Israel (INCD), por lo que sólo se conoce que están en proceso de negociación. ya que aún no han sido publicados los datos en su sitio de extorsión.

Clop Ransomware afirma haber comprometido 130 organizaciones con vulnerabilidad de día cero de GoAnywhere MFT.

GoAnywhere MFT es una aplicación de transferencia segura de archivos de la empresa Fortra que fue comprometida la semana pasada tras la explotación de la vulnerabilidad de día cero rastreada bajo el CVE-2023-0669, que permite a los ciberactores obtener la ejecución remota de en instancias MFT de GoAnywhere sin parches con su consola administrativa expuesta al acceso a Internet. 

Según los informes observados el gerente de inteligencia de amenazas de Huntress vinculó el ataque al grupo TA505, un grupo de amenazas conocido por usar el ransomware CLOP.

Así mismo, se dio a conocer en otra investigación  de Florian Hauser  de la consultora de seguridad de TI Code White; la existencia de la prueba de concepto (POC) que está siendo utilizada para realiza la ejecución remota de código no autenticado en servidores vulnerables GoAnywhere MFT.

Ciberactores lanzan nueva versión mejorada de  ESXIArgs ransomware luego del anuncios de publicación de la herramienta de descifrado de CISA

La nueva variante fue detectada luego que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), lanzara el 8 de febrero del 2023 en su  portal de GitHub, el descifrador para que las víctimas afectadas se recuperaran de los ataques del ransomware ESXiArgs.

Según informes observados, luego del anterior lanzamiento, ese mismo día los ciberactores hicieron modificaciones en el ransomware según lo expresan usuarios en el foro de bleepingcomputer, donde los archivos de más de 128 MB tendrán el 50% de sus datos encriptados, así mismo, según lo comenta cencys en su informe, la nueva variante incluye: 

• Una nueva nota de rescate sin direcciones BTC, lo que dificulta que los investigadores rastreen los pagos
• Cifrado de datos adicionales, lo que hace que las herramientas de descifrado existentes sean ineficaces

Hasta el momento, según observaciones mencionadas por cencys, después de 24 horas de lanzamiento de la nueva variante de ESXiArgs, se han visto algo más de 3800 hosts únicos comprometidos y 1800 que están en línea actualmente, si bien el principal foco por el momento se encuentra en paise fuera de latinoamerica, se cree que podrian convertirse en objetivos futuros por parte de los ciberactores por lo que se insta a la comunidad a tomar las medidas mitigatorias correspondientes, para mas información de ESXiArgs ransomware puede ver el siguiente boletín : https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1493/ 

Nueva variante de CLop ransomware apunta a sistema Linux 

Según una reciente investigación de SentinelLabs del 7 de febrero, se ha descubierto la primera variante del Ransomware Clop dirigida a sistemas Linux, cuya muestra parte de un ataque mayor que posiblemente ocurrió el 24 de diciembre del 2022 a la Universidad de Colombia.

Según lo mencionan los investigadores, lo que difiere principalmente de la versión anterior basada en windows, es el rediseño de los payloads, que  los desarrolladores adaptan exclusivamente al sistema operativo, si bien los métodos de cifrado y los procesos lógicos son similares, ésta versión según mencionan los investigadores; tiene algoritmos defectuosos que le permiten aplicar algoritmos de descifrado sin pagar rescate, el mismo, fue publicado en el siguiente enlace. https://github.com/SentineLabs/Cl0p-ELF-Decryptor .

CISA anuncia nuevas campañas de  Maui y H0lyGh0st  ransomware, usadas por el grupo APT del estado norcoreano para atacar infraestructura crítica. 

Según el anuncio observado el 10 de febrero, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), en conjunto con la La Agencia de Seguridad Nacional de los Estados Unidos (NSA), la Oficina Federal de Investigaciones (FBI) de los Estados Unidos, el Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS), la República de Corea (ROK) El Servicio Nacional de Inteligencia (NIS) y la Agencia de Seguridad de Defensa de la República de Corea (DSA); han anunciado las recientes campañas de ransomware de Corea del Norte usando variantes de Maui y H0lyGh0st Ransomware para comprometer infraestructura crítica, especialmente instituciones de salud pública y privada de Corea del Sur y EE.UU. Entre los CVEs usados  por los ciberactores observados por la agencia, corresponden a: 

• CVE 2021-44228
• CVE-2021-20038
• CVE-2022-24990

Grupo APT vinculado al estado Ruso, despliega nuevo InfoStealer  denominado Graphiron en ataques contra Ucrania.

El grupo Apt vinculado a los ataques a Ucrania es rastreado con el nombre de  Nodaria también conocido como UAC-0056, según los investigadores de Symantec.

Se conoce que la actividad de éste grupo inició en marzo del 2021 apuntan principalmente a países de Oriente y Medio Oriente entre los que destacan, Ucrania Kirguistán y Georgia. 

Este grupo lanzó desde octubre del 2022 el malware Graphiron, que según nuevas evidencias de los investigadores se sigue usando hasta mediados de enero 2023. 

Entre las  funcionalidades del malware se conocen:

• Se distribuye en dos etapas, un descargador (Downloader[.]Graphiron) y una carga útil (Infostealer[.]Graphiron).

El descargador: contiene direcciones de servidor de comando y control (C&C) codificadas. Cuando se ejecuta, se comparará con una lista negra de herramientas de análisis de malware al verificar los procesos en ejecución con los nombres enumerados anteriormente.

Carga Útil: está configurado para ejecutarse sólo una vez, si no puede descargarse e instalar la carga útil, no hará más intentos, ni enviará un latido.

Graphiron utiliza el cifrado AES con claves codificadas. Crea archivos temporales con las extensiones "[.]lock" y "[.]trash". Utiliza nombres de archivos codificados diseñados para hacerse pasar por ejecutables de Microsoft Office: OfficeTemplate[.]exe y MicrosoftOfficeDashboard[.]exe

El grupo APT rastreado como TA886 se dirige a organizaciones de EE.UU y ALemania con nuevo spyware llamado Screenshotter

Según el informe  observado de Proofpoint, las campañas del nuevo spyware comenzaron por primera vez en octubre de 2022 y la actividad ha continuado hasta 2023, con orientación principal a países como EE.UU y Alemania y con enfoque a todas las industrias de manera oportunista.

De acuerdo con lo observado en la investigación,  la cadena de ataque de la campaña inicia con el phishing, sin embargo otros investigadores externos afirman que el acceso inicial comienza con los anuncios publicitarios de google. 

En cualquiera de los casos los ciberactores usan herramientas de sistema de distribución de tráfico o TDS, para la etapa de entrega del pyload, que puede conformarse por: 

• Archivos adjuntos de Publisher (.pub) con macros
• Vinculación de URL (a través de 404 TDS) a archivos de Publisher con macros
• Vinculación de URL (a través de 404 TDS) a archivos JavaScript
• PDF con enlace de URL (a través de 404 TDS) a archivos JavaScript

Se reactiva campaña de malware basada en OneNote denominada AsyncRAT 

De acuerdo a una investigación recientemente observada de 0xtoxin-labs, se inició una campaña de entrega de malware en febrero del 2023 con una nueva  técnica de entrega de cargas útiles aprovechando los documentos de OneNote para atraer a los usuarios a que abran archivos adjuntos falsos y se conviertan en víctimas del malware AsyncRAT.

El malware parece distribuirse a través de documentos de OneNote por correo que  contienen archivos incrustados como facturas, remesas y temas de temporada, que muestra un gráfico que parece un botón. Cuando el usuario haga doble clic en el archivo incrustado, aparecerá una advertencia. Si el usuario hace clic en continuar, el archivo se ejecutará  y se instalará el malware en su sistema. 

Ciberactores utilizan ofertas de trabajo falsas para introducir malware Enigma

Este malware está principalmente orientado a usuarios del ámbito europeo que trabajan en la industria de las criptomonedas. Según lo observado en distintas fuentes, los actores de amenazas usan para infectar a las víctimas una versión modificada del malware Stealerium conocido también con el nombre de Enigma.

Enigma es un malware del tipo Stealer, cuyas campañas fueron recientemente descubiertas por los investigadores de Trendmicro. Las campañas utilizan el pretexto de un empleo falso que tiene como foco principal usuarios europeos del este del país que corresponden a la industria de las criptomonedas. 

Este nuevo Stealer según los investigadores, se vincula a actores de amenaza rusos, que utilizan varios cargadores de arranque altamente ofuscados, tras la explotación de la vulnerabilidad rastreada con el CVE-2015-2291, una vulnerabilidad de controlador de Intel, para cargar un controlador malicioso diseñado para reducir la integridad del token de Microsoft Defender.

Anuncios de Google están siendo abusados por campañas de phishing de AWS en los resultados de búsqueda para introducir malware.

Según los analistas de Sentinel Labs, la campaña de phishing está activa desde el 30 de enero del 2023 y consiste en usar la conocida aplicación de Google Apps para infiltrar sitios maliciosos cuyo objetivo es robar las credenciales de inicio de sesión de Amazon Web Services (AWS).

En éste sentido, se logró observar en la investigación,  que la cadena de ataque, inicia con una búsqueda normal en el servicio de AWS que devuelve un sitio malicioso que posteriormente redireccionará a una página de phishing muy similar a la real alojada en un segundo dominio, en donde se le solicitarán las credenciales al usuario, una vez que la víctima envía sus credenciales, el formulario presentado por los ciberactores tiene una redirección final que muestra la página de inicio de sesión legítima del servicio de AWS. 

Ciberactores aprovechan Backdoor de Sunlogin RCE para implementar C2

Según hallazgos provenientes del Centro de respuesta a emergencias de seguridad AhnLab (ASEC), se ha descubierto una vulnerabilidad en un programa de escritorio remoto desarrollado por china que permite la activación de un backdoor para el control remoto C2 por parte de los ciberactores, llamado Sunlogin RCE. El problema, según los investigadores, surgió cuando se descubrieron dos vulnerabilidades de ejecución remota de código rastreadas por los códigos: CNVD-2022-10270 y CNVD-2022-03672,  a través de la utilización de Sliver, un framework de operaciones red team basada en Go, que ha surgido como alternativa a Cobalt Strike y Metasploit; por parte de los ciberactores.

Nuevos avisos de seguridad en productos Palo Alto

Palo Alto ha publicado 3 nuevos avisos de seguridad que contemplan 3 vulnerabilidades de severidad media que  afectan a productos como:

• Cortex XSOAR
• Cortex XDR Agent

Aviso de seguridad de OpenSSL informa nuevas vulnerabilidades

OpenSSL ha publicado un nuevo aviso de seguridad que contempla 8 vulnerabilidades, las cuales se clasifican en 1 de severidad Alta y 7 de severidad Media.

Campaña que explota vulnerabilidad de VMWare del año 2021

De acuerdo a los últimos antecedentes surgidos en el panorama de amenazas, se visualizan campañas masivas de ransomware afectando servidores VMware en todo el mundo, explotando una vulnerabilidad descubierta en 2021 (CVE-2021-21974) que cuenta con parches disponibles y exploits públicos, por lo que es imperante actualizar sus servidores a la última versión disponible.

Esta vulnerabilidad fue mencionada durante febrero de 2021 en el boletin de amenazas “VMware corrige vulnerabilidad crítica en vCenter Server”, en donde ya se contaba con exploit disponible, sin embargo, no ha sido hasta ahora que se ha descubierto alta actividad tras este CVE.

A diferencia de otras amenazas estos actores maliciosos, se distingue en que no atacan redes completas y que tampoco tienen un sitio web de extorsión, sino que se dirigen a una tecnología específica, tal como ha sido el caso de “DeadBolt” atacando masivamente servidores QNAP, donde luego cobran recompensas en criptomonedas a billeteras únicas para cada víctima, limitando ampliamente su rango de detección y seguimiento.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 13 al 19  de febrero de 2023:

Objetivos observados durante semana de análisis: 
 

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

• Construcción e inmobiliaria
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Banca y Finanzas
• Servicios básicos y sanitarios
• Shipment y cadena de suministros
• Transportes y servicios automotrices.

• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Agricultura, ganadería, silvicultura y pesca - producción
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.