El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
El Instituto de Tecnología de Israel (Technion) , comprometido por el grupo de ransomware Darkbit
La principal escuela de tecnología de Israel Technion, considerada la principal institución de educación cibernética del país, fue comprometida por un ataque cibernético el domingo 12 de febrero del 2023.
Si bien según las fuentes observadas el compromiso corresponde a un ataque de ransomware cuya adjudicación fue reclamada por el grupo Darkbit, el mismo parece tener una connotación ideológica contra el estado israeli, hasta el momento se desconocen las tácticas técnicas y procedimientos usados por los ciberactores, ya que la investigación aún se encuentra abierta por el grupo de investigadores de La Dirección Nacional de Cibernética de Israel (INCD), por lo que sólo se conoce que están en proceso de negociación. ya que aún no han sido publicados los datos en su sitio de extorsión.
Clop Ransomware afirma haber comprometido 130 organizaciones con vulnerabilidad de día cero de GoAnywhere MFT.
GoAnywhere MFT es una aplicación de transferencia segura de archivos de la empresa Fortra que fue comprometida la semana pasada tras la explotación de la vulnerabilidad de día cero rastreada bajo el CVE-2023-0669, que permite a los ciberactores obtener la ejecución remota de en instancias MFT de GoAnywhere sin parches con su consola administrativa expuesta al acceso a Internet.
Según los informes observados el gerente de inteligencia de amenazas de Huntress vinculó el ataque al grupo TA505, un grupo de amenazas conocido por usar el ransomware CLOP.
Así mismo, se dio a conocer en otra investigación de Florian Hauser de la consultora de seguridad de TI Code White; la existencia de la prueba de concepto (POC) que está siendo utilizada para realiza la ejecución remota de código no autenticado en servidores vulnerables GoAnywhere MFT.
Ciberactores lanzan nueva versión mejorada de ESXIArgs ransomware luego del anuncios de publicación de la herramienta de descifrado de CISA
La nueva variante fue detectada luego que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), lanzara el 8 de febrero del 2023 en su portal de GitHub, el descifrador para que las víctimas afectadas se recuperaran de los ataques del ransomware ESXiArgs.
Según informes observados, luego del anterior lanzamiento, ese mismo día los ciberactores hicieron modificaciones en el ransomware según lo expresan usuarios en el foro de bleepingcomputer, donde los archivos de más de 128 MB tendrán el 50% de sus datos encriptados, así mismo, según lo comenta cencys en su informe, la nueva variante incluye:
Hasta el momento, según observaciones mencionadas por cencys, después de 24 horas de lanzamiento de la nueva variante de ESXiArgs, se han visto algo más de 3800 hosts únicos comprometidos y 1800 que están en línea actualmente, si bien el principal foco por el momento se encuentra en paise fuera de latinoamerica, se cree que podrian convertirse en objetivos futuros por parte de los ciberactores por lo que se insta a la comunidad a tomar las medidas mitigatorias correspondientes, para mas información de ESXiArgs ransomware puede ver el siguiente boletín : https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1493/
Nueva variante de CLop ransomware apunta a sistema Linux
Según una reciente investigación de SentinelLabs del 7 de febrero, se ha descubierto la primera variante del Ransomware Clop dirigida a sistemas Linux, cuya muestra parte de un ataque mayor que posiblemente ocurrió el 24 de diciembre del 2022 a la Universidad de Colombia.
Según lo mencionan los investigadores, lo que difiere principalmente de la versión anterior basada en windows, es el rediseño de los payloads, que los desarrolladores adaptan exclusivamente al sistema operativo, si bien los métodos de cifrado y los procesos lógicos son similares, ésta versión según mencionan los investigadores; tiene algoritmos defectuosos que le permiten aplicar algoritmos de descifrado sin pagar rescate, el mismo, fue publicado en el siguiente enlace. https://github.com/SentineLabs/Cl0p-ELF-Decryptor .
CISA anuncia nuevas campañas de Maui y H0lyGh0st ransomware, usadas por el grupo APT del estado norcoreano para atacar infraestructura crítica.
Según el anuncio observado el 10 de febrero, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), en conjunto con la La Agencia de Seguridad Nacional de los Estados Unidos (NSA), la Oficina Federal de Investigaciones (FBI) de los Estados Unidos, el Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS), la República de Corea (ROK) El Servicio Nacional de Inteligencia (NIS) y la Agencia de Seguridad de Defensa de la República de Corea (DSA); han anunciado las recientes campañas de ransomware de Corea del Norte usando variantes de Maui y H0lyGh0st Ransomware para comprometer infraestructura crítica, especialmente instituciones de salud pública y privada de Corea del Sur y EE.UU. Entre los CVEs usados por los ciberactores observados por la agencia, corresponden a:
Grupo APT vinculado al estado Ruso, despliega nuevo InfoStealer denominado Graphiron en ataques contra Ucrania.
El grupo Apt vinculado a los ataques a Ucrania es rastreado con el nombre de Nodaria también conocido como UAC-0056, según los investigadores de Symantec.
Se conoce que la actividad de éste grupo inició en marzo del 2021 apuntan principalmente a países de Oriente y Medio Oriente entre los que destacan, Ucrania Kirguistán y Georgia.
Este grupo lanzó desde octubre del 2022 el malware Graphiron, que según nuevas evidencias de los investigadores se sigue usando hasta mediados de enero 2023.
Entre las funcionalidades del malware se conocen:
El descargador: contiene direcciones de servidor de comando y control (C&C) codificadas. Cuando se ejecuta, se comparará con una lista negra de herramientas de análisis de malware al verificar los procesos en ejecución con los nombres enumerados anteriormente.
Carga Útil: está configurado para ejecutarse sólo una vez, si no puede descargarse e instalar la carga útil, no hará más intentos, ni enviará un latido.
Graphiron utiliza el cifrado AES con claves codificadas. Crea archivos temporales con las extensiones "[.]lock" y "[.]trash". Utiliza nombres de archivos codificados diseñados para hacerse pasar por ejecutables de Microsoft Office: OfficeTemplate[.]exe y MicrosoftOfficeDashboard[.]exe
El grupo APT rastreado como TA886 se dirige a organizaciones de EE.UU y ALemania con nuevo spyware llamado Screenshotter
Según el informe observado de Proofpoint, las campañas del nuevo spyware comenzaron por primera vez en octubre de 2022 y la actividad ha continuado hasta 2023, con orientación principal a países como EE.UU y Alemania y con enfoque a todas las industrias de manera oportunista.
De acuerdo con lo observado en la investigación, la cadena de ataque de la campaña inicia con el phishing, sin embargo otros investigadores externos afirman que el acceso inicial comienza con los anuncios publicitarios de google.
En cualquiera de los casos los ciberactores usan herramientas de sistema de distribución de tráfico o TDS, para la etapa de entrega del pyload, que puede conformarse por:
Se reactiva campaña de malware basada en OneNote denominada AsyncRAT
De acuerdo a una investigación recientemente observada de 0xtoxin-labs, se inició una campaña de entrega de malware en febrero del 2023 con una nueva técnica de entrega de cargas útiles aprovechando los documentos de OneNote para atraer a los usuarios a que abran archivos adjuntos falsos y se conviertan en víctimas del malware AsyncRAT.
El malware parece distribuirse a través de documentos de OneNote por correo que contienen archivos incrustados como facturas, remesas y temas de temporada, que muestra un gráfico que parece un botón. Cuando el usuario haga doble clic en el archivo incrustado, aparecerá una advertencia. Si el usuario hace clic en continuar, el archivo se ejecutará y se instalará el malware en su sistema.
Ciberactores utilizan ofertas de trabajo falsas para introducir malware Enigma
Este malware está principalmente orientado a usuarios del ámbito europeo que trabajan en la industria de las criptomonedas. Según lo observado en distintas fuentes, los actores de amenazas usan para infectar a las víctimas una versión modificada del malware Stealerium conocido también con el nombre de Enigma.
Enigma es un malware del tipo Stealer, cuyas campañas fueron recientemente descubiertas por los investigadores de Trendmicro. Las campañas utilizan el pretexto de un empleo falso que tiene como foco principal usuarios europeos del este del país que corresponden a la industria de las criptomonedas.
Este nuevo Stealer según los investigadores, se vincula a actores de amenaza rusos, que utilizan varios cargadores de arranque altamente ofuscados, tras la explotación de la vulnerabilidad rastreada con el CVE-2015-2291, una vulnerabilidad de controlador de Intel, para cargar un controlador malicioso diseñado para reducir la integridad del token de Microsoft Defender.
Anuncios de Google están siendo abusados por campañas de phishing de AWS en los resultados de búsqueda para introducir malware.
Según los analistas de Sentinel Labs, la campaña de phishing está activa desde el 30 de enero del 2023 y consiste en usar la conocida aplicación de Google Apps para infiltrar sitios maliciosos cuyo objetivo es robar las credenciales de inicio de sesión de Amazon Web Services (AWS).
En éste sentido, se logró observar en la investigación, que la cadena de ataque, inicia con una búsqueda normal en el servicio de AWS que devuelve un sitio malicioso que posteriormente redireccionará a una página de phishing muy similar a la real alojada en un segundo dominio, en donde se le solicitarán las credenciales al usuario, una vez que la víctima envía sus credenciales, el formulario presentado por los ciberactores tiene una redirección final que muestra la página de inicio de sesión legítima del servicio de AWS.
Ciberactores aprovechan Backdoor de Sunlogin RCE para implementar C2
Según hallazgos provenientes del Centro de respuesta a emergencias de seguridad AhnLab (ASEC), se ha descubierto una vulnerabilidad en un programa de escritorio remoto desarrollado por china que permite la activación de un backdoor para el control remoto C2 por parte de los ciberactores, llamado Sunlogin RCE. El problema, según los investigadores, surgió cuando se descubrieron dos vulnerabilidades de ejecución remota de código rastreadas por los códigos: CNVD-2022-10270 y CNVD-2022-03672, a través de la utilización de Sliver, un framework de operaciones red team basada en Go, que ha surgido como alternativa a Cobalt Strike y Metasploit; por parte de los ciberactores.
Nuevos avisos de seguridad en productos Palo Alto
Palo Alto ha publicado 3 nuevos avisos de seguridad que contemplan 3 vulnerabilidades de severidad media que afectan a productos como:
Aviso de seguridad de OpenSSL informa nuevas vulnerabilidades
OpenSSL ha publicado un nuevo aviso de seguridad que contempla 8 vulnerabilidades, las cuales se clasifican en 1 de severidad Alta y 7 de severidad Media.
Campaña que explota vulnerabilidad de VMWare del año 2021
De acuerdo a los últimos antecedentes surgidos en el panorama de amenazas, se visualizan campañas masivas de ransomware afectando servidores VMware en todo el mundo, explotando una vulnerabilidad descubierta en 2021 (CVE-2021-21974) que cuenta con parches disponibles y exploits públicos, por lo que es imperante actualizar sus servidores a la última versión disponible.
Esta vulnerabilidad fue mencionada durante febrero de 2021 en el boletin de amenazas “VMware corrige vulnerabilidad crítica en vCenter Server”, en donde ya se contaba con exploit disponible, sin embargo, no ha sido hasta ahora que se ha descubierto alta actividad tras este CVE.
A diferencia de otras amenazas estos actores maliciosos, se distingue en que no atacan redes completas y que tampoco tienen un sitio web de extorsión, sino que se dirigen a una tecnología específica, tal como ha sido el caso de “DeadBolt” atacando masivamente servidores QNAP, donde luego cobran recompensas en criptomonedas a billeteras únicas para cada víctima, limitando ampliamente su rango de detección y seguimiento.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 13 al 19 de febrero de 2023:
Objetivos observados durante semana de análisis:
Ransomware EXSIarg actualiza sus ataques dirigidos a servidores VMWare ESXi |
Ciberactores aprovechan Backdoor de Sunlogin RCE para implementar C2 |
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Renuncia de Responsabilidad:
Utilice esta información bajo su propia responsabilidad! El Centro de Ciberinteligencia de Entel no se hace responsable por el uso indebido o pruebas de conceptos no controladas por parte del lector.