ENTEL Weekly Threat Intelligence Brief del 13 al 19 de febrero de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• El nuevo ransomware 'MortalKombat' apunta a los sistemas en los EE. UU
• Ciudad de Oakland declara estado de emergencia tras ataque de ransomware
• El ransomware dirigido hacia servidores VMware, estaba en aumento antes de la campaña de ESXiArgs
• CISA advierte sobre ataques de ransomware contra la atención médica
• Las fallas de Microsoft Exchange ProxyShell explotadas en un nuevo ataque de criptominería
• Crack de Hogwarts Legacy conduce a adware
• Abuso de Adsense: 11.000 sitios de Wordpress hackeados en un ataque de puerta trasera
• Sitios web de aeropuertos alemanes afectados por un supuesto ataque cibernético
• GoDaddy: los piratas informáticos robaron el código fuente e instalaron malware en una violación de varios años
• Nuevo malware WhiskerSpy entregado a través de un instalador de códec troyano
• El FBI investiga un incidente de ciberseguridad en su red
• Nueva variante de malware Mirai infecta dispositivos Linux para construir botnet DDoS
• Hackeo de servidores backdoor Microsoft IIS con nuevo malware Frebniis
• El gigante de la atención médica CHS informa la primera violación de datos en los hackeos de GoAnywhere
• Ciberactores de Lazarus usan un nuevo mezclador para ocultar USD 100 millones en criptomonedas robadas
• OilRig apunta a más entidades gubernamentales de Medio Oriente
• APT iraní filtra datos del gobierno de Arabia Saudita
• APT37 aprovecha la vulnerabilidad Hangul con malware M2RAT altamente evasivo
• Los expertos publicaron una lista de IP proxy utilizadas por el grupo prorruso Killnet
• Múltiples vulnerabilidades afectan a Fortinet
• Nuevas vulnerabilidades afectan a los complementos de Jenkins
• Nuevos avisos de seguridad en productos Cisco
• Patch Tuesday Microsoft de febrero corrige 80 vulnerabilidades
• Múltiples vulnerabilidades afectan a productos Siemens
• Citrix publica un aviso con una nueva vulnerabilidad
• Patch Day SAP – Febrero 2023

El nuevo ransomware 'MortalKombat' apunta a los sistemas en los EE. UU.

Ciberactores que llevan a cabo una nueva campaña motivada financieramente están utilizando una variante del ransomware de productos básicos Xortist llamado 'MortalKombat', junto con el clipper Laplas en ataques cibernéticos. Ambas infecciones de malware se utilizan para realizar fraudes financieros, con el ransomware utilizado para extorsionar a las víctimas para que reciban un descifrador y Laplas para robar criptomonedas mediante el secuestro de transacciones criptográficas.

Laplas es un secuestrador de criptomonedas  lanzado en 2022  que monitorea el portapapeles de Windows en busca de direcciones criptográficas y, cuando las encuentra, las sustituye por direcciones bajo el control del atacante.

En cuanto a MortalKombat, Cisco Talos dice que el nuevo ransomware se basa en la familia de ransomware de productos básicos Xorist, que utiliza un constructor que permite a los actores de amenazas personalizar el malware. Xorist se puede  descifrar de forma gratuita desde 2016 .

Los ataques observados se centraron principalmente en los Estados Unidos, con algunas víctimas también en el Reino Unido, Turquía y Filipinas.

Ciudad de Oakland declara estado de emergencia tras ataque de ransomware

Oakland ha declarado un estado de emergencia local debido al impacto de un ataque de ransomware que obligó a la ciudad a desconectar todos sus sistemas de TI el 8 de febrero.

El administrador interino de la ciudad, G. Harold Duffey, declaró el estado de emergencia para permitir que la ciudad de Oakland, California, acelere los pedidos, la adquisición de materiales y equipos, y active a los trabajadores de emergencia cuando sea necesario.

"Hoy, el administrador interino de la ciudad, G. Harold Duffey, emitió un estado de emergencia local debido a los continuos impactos de las interrupciones de la red como resultado del ataque de ransomware que comenzó el miércoles 8 de febrero", se lee en un comunicado.

Si bien el ataque de ransomware de la semana pasada solo afectó a los servicios que no son de emergencia, muchos sistemas que se desactivaron inmediatamente después del incidente para contener la amenaza aún están fuera de línea. Actualmente se desconoce el grupo de ransomware detrás del ataque, y la Ciudad aún no ha compartido ningún detalle sobre las demandas de rescate o el robo de datos de los sistemas comprometidos.

El ransomware dirigido hacia servidores VMware, estaba en aumento antes de la campaña de ESXiArgs

La actividad de ransomware dirigida a las instancias de VMware ESXi estaba en aumento antes de que estallara una ola de ransomware este mes, que afectó a miles de servidores, según descubrió una investigación de Recorded Future.

Solo dos ataques cibernéticos dirigidos a ESXi con ransomware en 2020, pero en 2021 Recorded Future identificó más de 400 incidentes. El año pasado, el número se disparó y casi se triplicó a 1118 en 2022, encontró la investigación.

Se observaron payloads de ransomware de varios grupos, incluidos ALPHV, LockBit y BlackBasta.

La investigación destaca un aumento constante de la actividad de ransomware y puntos ciegos que presentan riesgos adicionales entre las organizaciones que utilizan VMware ESXi.

VMware se negó a comentar sobre la investigación de Recorded Future y aconsejó a las organizaciones que actualicen a las últimas versiones de componentes para abordar las vulnerabilidades conocidas actualmente.

• Para más información sobre ransomware ESXiArgs visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1499/

CISA advierte sobre ataques de ransomware contra la atención médica

Un nuevo aviso de seguridad cibernética emitido por CISA en colaboración con la NSA, el FBI, el HHS, el Servicio de Inteligencia Nacional de la República de Corea del Sur y la Agencia de Seguridad de Defensa de la República de Corea del Sur advirtió que los ciberactores de Corea del Norte están involucrados en ataques de ransomware contra los sistemas de salud en Corea del Sur y los Estados Unidos.

Según el aviso, el modus operandi de los ataques incluye a piratas informáticos norcoreanos que adquieren y compran infraestructura para ocultar sus identidades. 

Esto incluye el uso de personas y cuentas falsas y criptomonedas obtenidas ilegalmente para ocultar sus operaciones. También están utilizando servicios VPN (VPS) o direcciones IP de terceros para ocultar el origen del ataque. 

Los ciberactores se infiltran en los objetivos explotando vulnerabilidades: Log4Shell (CVE-2021-44228), falla de ejecución remota de código en dispositivos SonicWall (CVE-2021-20038) y falla de divulgación de contraseña de administrador en productos TerraMaster NAS (CVE-2022-24990) que permiten acceso y escalada de privilegios en las redes de destino.

El ransomware se distribuye a través de archivos troyanos para 'X-Popup', un mensajero de código abierto comúnmente utilizado por empleados de hospitales pequeños y medianos en Corea del Sur.

Si bien los piratas informáticos de Corea del Norte han sido vinculados a las cepas de ransomware Maui y H0lyGh0st , el aviso señala que también se ha observado que utilizan herramientas de ransomware disponibles públicamente para el cifrado. Estos incluyen BitLocker, Deadbolt, ech0raix, GonnaCry, Hidden Tear, Jigsaw, LockBit 2.0, My Little, NxRansomware, Ryuk y YourRansom.

Ciberactores de Lazarus usan un nuevo mezclador para ocultar USD 100 millones en criptomonedas robadas

Ciberactores de Corea del Norte han encontrado una forma de evitar las sanciones impuestas por EE. UU. para lavar las ganancias en criptomonedas de sus atracos, según la evidencia descubierta por los analistas de blockchain.

El Grupo Lazarus, como se suele llamar al actor de amenazas, ha lavado alrededor de USD 100 millones en Bitcoin robado desde octubre de 2022 a través de un único servicio de mezcla de criptomonedas llamado Sinbad.

El año 2022, la Oficina de Control de Activos Extranjeros (OFAC) del Tesoro de EE. UU. anunció sanciones contra los servicios de mezcla de criptomonedas Blender y Tornado Cash, que Lazarus había utilizado para lavar cerca de USD 500 millones en criptomonedas obtenidas ilícitamente.

Según la empresa de análisis de blockchain  Elliptic , es muy probable que el operador de Blender haya lanzado a principios de octubre de 2022 un nuevo servicio llamado Sinbad, que está siendo utilizado por Lazarus para lavar activos.

OilRig apunta a más entidades gubernamentales de Medio Oriente

El grupo de ciberactores patrocinado por el estado iraní OilRig ha estado desarrollando sus métodos para eludir las protecciones de seguridad. El grupo ha agregado recientemente una nueva backdoor a su arsenal para apoyar su campaña de espionaje de larga duración contra las organizaciones gubernamentales en el Medio Oriente .

OilRig , también conocido como APT34, ha estado activo desde al menos 2014 y se sabe que utiliza un conjunto de herramientas diversas en sus operaciones. Durante 2020 , 2021 y 2022, el grupo empleó puertas traseras como Karkoff, Shark, Marlin y Saitama para el robo de información.

La infección del ataque comienza con un dropper basado en [.]NET que tiene la tarea de entregar cuatro archivos diferentes, cada uno de los cuales se colocó en un búfer Base64 dentro del dropper principal, denominado REDCAP.

Los investigadores de Trend Micro descubrieron que la campaña se ha dirigido principalmente a países de Oriente Medio, incluidos los Emiratos Árabes Unidos, China, Jordania, Arabia Saudita, Qatar, Omán, Kuwait, Bahrein, Líbano y Egipto.

APT iraní filtra datos del gobierno de Arabia Saudita 

El actor de amenazas persistentes avanzadas (APT) vinculado a Irán conocido como Moses Staff está filtrando datos robados de los ministerios del gobierno de Arabia Saudita utilizando una persona en línea creada recientemente.

Moses Staff (A.K.A Cobalt Sapling), probablemente haya estado activo desde noviembre de 2020, pero su existencia no se reveló hasta septiembre de 2021.

Un grupo declarado anti-israelí y pro-palestino, ha publicado en su sitio web de filtraciones 16 actividades a partir de diciembre de 2022, que consisten principalmente en datos robados de empresas israelíes, o información personal de personas afiliadas a una unidad de inteligencia israelí de Israel. 

APT37 aprovecha la vulnerabilidad Hangul con malware M2RAT altamente evasivo

El grupo de ciberactores patrocinado por el estado de Corea del Norte APT37 , también conocido como RedEyes o ScarCruft, ha agregado recientemente un nuevo malware evasivo denominado M2RAT a su arsenal. El grupo está utilizando el malware junto con la técnica de esteganografía para apuntar a individuos específicos y robar información personal de PC y datos de teléfonos móviles.

Los investigadores de AhnLab descubrieron que los ataques recientes comenzaron en enero de 2023 y APT37 está distribuyendo malware a través de una antigua vulnerabilidad en Hangul Encapsulated PostScript (EPS).

La vulnerabilidad ( CVE-2017-8291 ) es una vulnerabilidad de confusión de tipos en Artifex Ghostscript, que puede explotarse para ejecutar código arbitrario. Los atacantes envían correos electrónicos de phishing que contienen archivos adjuntos maliciosos que desencadenan la explotación de la vulnerabilidad Hangul EPS.

El exploit hará que el shellcode se ejecute en la computadora de la víctima descargando una imagen JPEG del servidor C2 del atacante y descifra el archivo PE codificado. Este archivo de imagen JPG utiliza esteganografía para evadir la detección de red. El archivo PE introduce sigilosamente el ejecutable M2RAT en el sistema y lo inyecta en explorer[.]exe y agrega persistencia al sistema.

APT37 continúa actualizando sus conjuntos de herramientas personalizados con malware evasivo para hacer que la detección y el análisis sean un desafío. El grupo es consistente con su estrategia objetivo y motivo de recolección de inteligencia. Además, apuntar a personas no corporativas dificulta el reconocimiento del daño causado por los ataques del grupo.

Los expertos publicaron una lista de IP proxy utilizadas por el grupo prorruso Killnet

Los investigadores de SecurityScorecard publicaron una lista de direcciones IP proxy utilizadas por el grupo prorruso Killnet con la intención de interferir con su operación y bloquear sus ataques.

“Para ayudar a las organizaciones a protegerse mejor, SecurityScorecard ha publicado  una lista de IP de proxy  para ayudar a bloquear el bot Killnet DDoS”.

El grupo Killnet ha estado activo desde marzo de 2022, lanzó ataques DDoS contra gobiernos e infraestructura crítica de países que expresaron su apoyo a Ucrania, incluidos Italia,  Rumania , Moldavia, República Checa,  Lituania , Noruega y Letonia.

A principios de febrero de 2023, el Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSC) informó que los sitios web de varios hospitales en los Países Bajos y Europa fueron atacados por ataques DDoS llevados a cabo por el grupo Killnet .

Las fallas de Microsoft Exchange ProxyShell explotadas en un nuevo ataque de criptominería

Un nuevo malware denominado 'ProxyShellMiner' explota las vulnerabilidades de Microsoft Exchange ProxyShell para implementar mineros de criptomonedas en un dominio de Windows para generar ganancias para los atacantes.

ProxyShell es el nombre de tres vulnerabilidades de Exchange descubiertas y reparadas por Microsoft en 2021. Cuando se encadenan, las vulnerabilidades permiten la ejecución remota de código sin autenticar, lo que permite a los atacantes tomar el control completo del servidor de Exchange y pasar a otras partes de la red de la organización.

En los ataques vistos por Morphisec, los actores de amenazas explotan las fallas de ProxyShell rastreadas como CVE-2021-34473 y CVE-2021-34523 para obtener acceso inicial a la red de la organización.

A continuación, los actores de la amenaza colocan una payload de malware [.]NET en la carpeta NETLOGON del controlador de dominio para garantizar que todos los dispositivos de la red ejecuten el malware.

Para que el malware se active, requiere un parámetro de línea de comando que también se dobla como una contraseña para el componente minero XMRig. En la siguiente fase, el malware descarga un archivo llamado "DC_DLL" y realiza una reflexión [.]NET para extraer argumentos para el programador de tareas, XML y la clave XMRig. El archivo DLL se utiliza para descifrar archivos adicionales.

El paso final en la cadena de ataque es crear una regla de firewall que bloquee todo el tráfico saliente, que se aplica a todos los perfiles de Firewall de Windows.El propósito de esto es hacer que sea menos probable que los defensores detecten marcadores de infección o reciban alertas sobre un posible compromiso del sistema infectado.

Morphisec advierte que el impacto del malware va más allá de causar interrupciones en el servicio, degradar el rendimiento del servidor y sobrecalentar las computadoras.

Una vez que los atacantes se han afianzado en la red, pueden hacer cualquier cosa, desde la implementación de puertas traseras hasta la ejecución de código.

Para abordar el riesgo de infecciones de ProxyShellMiner, Morphisec aconseja a todos los administradores que apliquen las actualizaciones de seguridad disponibles y utilicen estrategias de defensa y detección de amenazas integrales y multifacéticas.

Para más información sobre ProxyShell visitar:

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1374/
• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/972/
• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/970/

Crack de Hogwarts Legacy conduce a adware

Hogwarts Legacy , el tan esperado videojuego de Harry Potter, finalmente ha aterrizado en las principales plataformas de juegos. Pero, como con todos los juegos como este, viene con una etiqueta de precio elevada, por lo que no sorprende ver de repente sitios web que venden versiones "crackeadas" del juego de forma gratuita. Estos sitios son fácilmente accesibles a través de una búsqueda rápida en Google.

Los juegos crackeados son juegos que se vuelven jugables debido a la manipulación o modificación de archivos. Por lo general, también están disponibles de forma gratuita. Esencialmente, son juegos pirateados, lo cual es ilegal en algunos estados. El analista de inteligencia de malware Stefan Dasic investigó los sitios web anteriores que afirman compartir la versión descifrada del juego para PC. 

Un sitio web,  games-install[.]com , solicita a los usuarios una clave de activación una vez que han descargado el "juego". Para acceder a la clave, el sitio dice que el usuario debe verificarse a sí mismo a través de una encuesta.

Todo se desmorona en ese punto. O la encuesta conduce a un callejón sin salida o pide a los usuarios que introduzcan sus datos, como un número de teléfono. Baste decir que el sitio web es una  estafa de encuestas .

Dasic dijo que todos los sitios de la captura de pantalla anterior se resuelven en  gameportpc[.]ru , que redirige a sitios cambiantes que se ven alojando un archivo llamado  Hogwarts_Legacy_Setup[.]exe 

Cuando los usuarios hacen clic en el botón "Descargar", descubren que han descargado una copia del programa legítimo de  compresión de archivos 7-Zip  .

Sin embargo, si visita la misma  URL de gameportpc  , el archivo descargado se convierte en un troyano, que luego arroja adware. Malwarebytes detecta el troyano y el adware como Trojan[.]Dropper y Adware[.]Agent.Generic, respectivamente.

Abuso de Adsense: 11.000 sitios de Wordpress hackeados en un ataque de puerta trasera

Los investigadores de Sucuri informaron que una puerta trasera infectó con éxito alrededor de 11,000 sitios web en los últimos meses. Según la investigación, la puerta trasera redirige a los usuarios a sitios que muestran visualizaciones fraudulentas de anuncios de Google AdSense . El escáner remoto SiteCheck ha detectado más de 10.890 sitios infectados. La actividad se ha intensificado aún más recientemente, con 70 nuevos dominios maliciosos disfrazados de legítimos en 2023 y 2600 sitios infectados descubiertos en la web.

Todos los sitios web infectados detectados por Sucuri usaban WordPress CMS . Estos tenían un script PHP ofuscado inyectado en los archivos legítimos de los sitios web, como index[.]php, wp - activate[.]php, wp - signup[.]php y wp - cron[.]php, etc.

Cuando el usuario ingresa cualquier nombre de dominio en su navegador, se lo redirige a un servicio de acortamiento de URL real, por ejemplo, Cuttly o Bitly, pero estos no son acortadores de URL públicos genuinos. Cada dominio tiene unas pocas URL que funcionan y que redirigen a los visitantes a sitios de preguntas y respuestas con spam que incluyen la monetización de AdSense.

“En este punto, no hemos notado un comportamiento malicioso en estas páginas de destino. Sin embargo, en un momento dado, los operadores del sitio pueden agregar arbitrariamente malware o comenzar a redirigir el tráfico a otros sitios web de terceros”, señalaron los investigadores.

Sitios web de aeropuertos alemanes afectados por un supuesto ataque cibernético

Los sitios web de siete aeropuertos alemanes fueron atacados el jueves por un presunto ciberataque, dijo la asociación aeroportuaria ADV, un día después de que una importante falla informática en Lufthansa dejara varados a miles de pasajeros.

Entre los aeropuertos afectados estaban Dusseldorf, Nuremberg y Dortmund, pero los sitios web de los aeropuertos más grandes de Alemania en Frankfurt, Munich y Berlín funcionaban con normalidad.

“Una vez más, los aeropuertos fueron víctimas de ataques DDoS a gran escala”, dijo el director ejecutivo de ADV, Ralph Beisel, en un comunicado, y agregó que los sitios web de siete aeropuertos estaban temporalmente inactivos.

GoDaddy: los piratas informáticos robaron el código fuente e instalaron malware en una violación de varios años

El gigante del alojamiento web GoDaddy dice que sufrió una brecha en la que atacantes desconocidos robaron el código fuente e instalaron malware en sus servidores después de comprometer su entorno de alojamiento compartido cPanel en un ataque de varios años.

Si bien GoDaddy descubrió la brecha de seguridad luego de los informes de los clientes a principios de diciembre de 2022 de que sus sitios se estaban utilizando para redirigir a dominios aleatorios, los atacantes tuvieron acceso a la red de la empresa durante varios años.

"Según nuestra investigación, creemos que estos incidentes son parte de una campaña de varios años por parte de un sofisticado grupo de actores de amenazas que, entre otras cosas, instala malware en nuestros sistemas y obtuvo fragmentos de código relacionados con algunos servicios dentro de GoDaddy", dijo la firma  en una presentación ante la SEC .

La compañía dice que las infracciones anteriores reveladas en noviembre de 2021 y marzo de 2020 también están vinculadas a esta campaña de varios años.

GoDaddy dice que también encontró evidencia adicional que vincula a los actores de amenazas con una campaña más amplia dirigida a otras empresas de alojamiento en todo el mundo a lo largo de los años.

"Tenemos evidencia, y la policía lo ha confirmado, de que este incidente fue llevado a cabo por un grupo sofisticado y organizado que tenía como objetivo servicios de alojamiento como GoDaddy",  dijo la empresa de alojamiento en un comunicado .

GoDaddy es uno de los registradores de dominios más grandes y también brinda servicios de alojamiento a más de 20 millones de clientes en todo el mundo.

Nuevo malware WhiskerSpy entregado a través de un instalador de códec troyano

Los investigadores de seguridad han descubierto una nueva puerta trasera llamada WhiskerSpy utilizada en una campaña de un actor de amenazas avanzado relativamente nuevo rastreado como Earth Kitsune, conocido por apuntar a personas que muestran interés en Corea del Norte.

El actor usó un método probado y probado y escogió víctimas entre los visitantes de un sitio web Pro Corea del Norte, una táctica conocida como ataque “watering hole”.

La nueva operación fue descubierta a finales del año pasado por investigadores de la empresa de ciberseguridad Trend Micro, que han estado rastreando la actividad de Earth Kitsune desde 2019.

Según Trend Micro, WhiskerSpy se entregó cuando los visitantes intentaron ver videos en el sitio web. El atacante comprometió el sitio web e inyectó un script malicioso que le pedía a la víctima que instalara un códec de video para que se ejecutaran los medios.

Para evitar sospechas, el actor de amenazas modificó un instalador de códec legítimo para que finalmente cargue "una puerta trasera nunca antes vista" en el sistema de la víctima. Los investigadores dicen que el actor de amenazas apuntó sólo a los visitantes del sitio web con direcciones IP de Shenyang, China, Nagoya, Japón y Brasil.

Trend Micro ha descubierto una versión anterior de WhiskerSpy que utiliza el protocolo FTP en lugar de HTTP para la comunicación C2. Esta variante anterior también verifica la presencia de un depurador al ejecutarse e informa al C2 con el código de estado apropiado.

Para tener en cuenta, la confianza de los investigadores en atribuir este ataque al abrevadero a Earth Kitsune es media, pero el modus operandi y los objetivos son similares a las actividades previamente asociadas al grupo.

El FBI investiga un incidente de ciberseguridad en su red

Según se informa, la Oficina Federal de Investigaciones (FBI) de EE. UU. está investigando actividades cibernéticas maliciosas en la red de la agencia.

La agencia federal de aplicación de la ley dice que ya contuvo el "incidente aislado" y está trabajando para descubrir su alcance e impacto general. "Este es un incidente aislado que ha sido contenido. Como se trata de una investigación en curso, el FBI no tiene más comentarios para proporcionar en este momento".

CNN informó por primera vez  el viernes que se trataba de un incidente de piratería informática que involucró un sistema informático de la Oficina de Campo de Nueva York del FBI utilizado para investigar la explotación sexual infantil.

Nueva variante de malware Mirai infecta dispositivos Linux para construir botnet DDoS

Una nueva variante de botnet Mirai rastreada como 'V3G4' apunta a 13 vulnerabilidades en servidores basados ​​en Linux y dispositivos IoT para usar en ataques DDoS (denegación de servicio distribuido).

El malware se propaga mediante la fuerza bruta de credenciales de telnet/SSH débiles o predeterminadas y explota fallas codificadas para realizar la ejecución remota de código (RCE) en los dispositivos de destino. Una vez que se infecta un dispositivo, el malware infecta el dispositivo y lo recluta en su enjambre de botnets. El malware en particular fue detectado en tres campañas distintas por investigadores de Palo Alto Networks (Unit 42), quienes informaron haber monitoreado la actividad maliciosa entre julio y diciembre de 2022.

Unit 42 cree que las tres olas de ataque se originan del mismo actor de amenazas porque los dominios C2 codificados contienen la misma cadena, las descargas de scripts de shell son similares y los clientes de botnet utilizados en todos los ataques presentan funciones idénticas.

Una característica que diferencia a V3G4 de la mayoría de las variantes de Mirai es que utiliza cuatro claves de cifrado XOR diferentes en lugar de solo una, lo que hace que la ingeniería inversa del código del malware y la decodificación de sus funciones sean más desafiantes.

Cuando se propaga a otros dispositivos, la red de bots usa una fuerza bruta de telnet/SSH que intenta conectarse usando credenciales predeterminadas o débiles. La Unidad 42 notó que las variantes de malware anteriores usaban la fuerza bruta de telnet/SSH y la explotación de vulnerabilidades para propagarse, mientras que las muestras posteriores no usaban el escáner.

Finalmente, los dispositivos comprometidos reciben comandos DDoS directamente desde el C2, incluidos los métodos de inundación TCP, UDP, SYN y HTTP.

Es probable que V3G4 venda servicios DDoS a clientes que desean causar la interrupción del servicio en sitios web o servicios en línea específicos.Sin embargo, esta variante no se ha vinculado a un servicio en particular en este momento.

Hackers servidores backdoor Microsoft IIS con nuevo malware Frebniis

Ciberactores están implementando un nuevo malware llamado 'Frebniss' en los Servicios de información de Internet (IIS) de Microsoft que ejecuta sigilosamente los comandos enviados a través de solicitudes web.

Frebniis fue descubierto por el Threat Hunter Team de Symantec, quien informó que un actor de amenazas desconocido lo está utilizando actualmente contra objetivos con sede en Taiwán. Microsoft IIS es un software de servidor web que actúa como un servidor web y una plataforma de alojamiento de aplicaciones web para servicios como Outlook en la Web para Microsoft Exchange.

En los ataques vistos por Symantec, los piratas informáticos abusan de una característica de IIS llamada 'Búfer de evento de solicitud fallida' (FREB), responsable de recopilar metadatos de solicitud (dirección IP, encabezados HTTP, cookies). Su propósito es ayudar a los administradores del servidor a solucionar problemas de códigos de estado HTTP inesperados o problemas de procesamiento de solicitudes.

El malware inyecta código malicioso en una función específica de un archivo DLL que controla FREB ("iisfreb[.]dll") para permitir que el atacante intercepte y controle todas las solicitudes HTTP POST enviadas al servidor ISS. Cuando el malware detecta solicitudes HTTP específicas que envía el atacante, analiza la solicitud para determinar qué comandos ejecutar en el servidor.

La principal ventaja de abusar del componente FREB para los fines descritos es evadir la detección de las herramientas de seguridad. Esta puerta trasera HTTP única no deja rastros ni archivos y no crea procesos sospechosos en el sistema.

Aunque se desconoce la ruta de compromiso inicial, generalmente se recomienda actualizar su software para minimizar las posibilidades de que los piratas informáticos exploten las vulnerabilidades conocidas.

El gigante de la atención médica CHS informa la primera violación de datos en los hackeos de GoAnywhere

Community Health Systems (CHS) dice que se vio afectado por una ola reciente de ataques dirigidos a una vulnerabilidad de día cero en la plataforma de transferencia segura de archivos GoAnywhere MFT de Fortra.

El gigante proveedor de atención médica dijo el lunes que Fortra emitió una alerta diciendo que había "experimentado un incidente de seguridad" que provocó que algunos datos de CHS se vieran comprometidos.

Una investigación posterior reveló que la violación de datos resultante afectó la información personal y de salud de hasta 1 millón de pacientes.

"Si bien esa investigación aún está en curso, la Compañía cree que la infección de Fortra no ha tenido ningún impacto en ninguno de los sistemas de información de la Compañía y que no ha habido ninguna interrupción material de las operaciones comerciales de la Compañía, incluida la prestación de atención al paciente". CHS dijo que una presentación 8-K ante la SEC fue detectada por primera vez por DataBreaches[.]net

Múltiples vulnerabilidades afectan a Fortinet

Fortinet ha publicado 40 nuevos avisos de seguridad que contemplan 40 vulnerabilidades, las cuales se clasifican en 2 de severidad Crítica, 15 de severidad Alta, 22 de severidad Media y 1 de severidad Baja.

Estas vulnerabilidades afectan a  productos como:

• FortiWeb
• FortiOS
• FortiNAC
• Entre otros

Para más información visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1507/

Nuevas vulnerabilidades afectan a los complementos de Jenkins

El servidor Jenkins, publicó un aviso de seguridad que contiene 11 vulnerabilidades que se clasifican en 7 de severidad Alta y 4 de severidad Media.

• Para más información visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1506/

Nuevos avisos de seguridad en productos Cisco

Cisco ha publicado 6 nuevos avisos de seguridad que contemplan 7 vulnerabilidades, las cuales se clasifican en 1 de severidad Crítica, 3 de severidad Alta y 3 de severidad media afectando a  productos como:

• Cisco ISE
• Cisco ESA
• Cisco Nexus Dashboard
• Entre otros

Para más información visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1505/

Patch Tuesday Microsoft de febrero corrige 80 vulnerabilidades

En su actualización programada para el martes de parches de febrero del 2023, Microsoft  informó 80 correcciones de seguridad. Del total de vulnerabilidades 9 son catalogadas como Críticas y corresponden a fallas de ejecución de código remoto (RCE).

De las 80 CVE´s parcheadas por Microsoft en el Patch Tuesday de febrero, 9 son clasificadas como Críticas , 69 clasificadas como Importantes, 1 como Moderada y 1 Desconocida.

Adicionalmente, existen 22 vulnerabilidades asociadas a Chromium que no se consideran en el conteo anterior.

Estas vulnerabilidades se pueden segmentar de las siguiente forma:

• 12 Vulnerabilidades de elevación de privilegios
• 2 Vulnerabilidades de omisión de funciones de seguridad
• 40 Vulnerabilidades de ejecución remota de código
• 8 vulnerabilidades de divulgación de información
• 10 vulnerabilidades de denegación de servicio
• 8 vulnerabilidades de Spoofing

Para más información visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1504/

Múltiples vulnerabilidades afectan a productos Siemens

Siemens ha publicado 12 avisos de seguridad que contemplan 76 vulnerabilidades, 5 de ellas de severidad Crítica, 69 de severidad Alta y 2 de severidad Media.

• Para más información visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1503/

Citrix publica un aviso con una nueva vulnerabilidad

Citrix ha publicado 3 nuevos avisos de seguridad que contienen 4  vulnerabilidades, de las cuales 2 son de severidad Alta y 2 de severidad Media que afecta a los siguientes productos: 

Aplicaciones y escritorios virtuales de Citrix

• Para más información visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1502/

Patch Day SAP – Febrero 2023

En el martes de parches de febrero del 2023 SAP publicó 21 nuevos avisos de seguridad para sus productos, de los cuales: 3 son de Severidad Alta y 19 de Severidad Media. Además, se incluyen 5 actualizaciones de vulnerabilidades abordadas anteriormente. Esta publicación contempla 22 vulnerabilidades nuevas.

Cabe mencionar que SAP publicó una Actualización de la nota de seguridad publicada el día del parche de abril de 2018 con severidad HotNews y puntuación cvss 10 : “Actualizaciones de seguridad para el control del navegador Google Chromium entregadas con SAP Business Client” , la nota de seguridad 2622660 , publicada el día del parche de abril 2018, es para actualizar a los clientes sobre las vulnerabilidades que SAP Business Client hereda de navegadores web de terceros como Google Chromium.

• Para más información visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1501/

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 20 al 26 de Febrero de 2023:

Objetivos observados durante semana de análisis:

• Banca y Finanzas
• Construcción e inmobiliaria
• Defensa y orden público
• Servicios legales y profesionales
• Educación
• Agricultura, ganadería, silvicultura y pesca - consumo
• Entretenimiento, cultura y arte
• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Retail y servicios de consumo
• Organizaciones sin fines de lucro
• Gobierno
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Petróleo
• Turismo, hoteles y restaurantes
• Transportes y servicios automotrices.

• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Banca y Finanzas
• Servicios empresariales y comercio
• Transportes y servicios automotrices.
• Infraestructura tecnológica - Componentes
• Shipment y cadena de suministros

• Infraestructura tecnológica
• Defensa y orden público
• Educación
• Servicios de salud, sociales y farmacia
• Turismo, hoteles y restaurantes

• Construcción e inmobiliaria
• Organizaciones sin fines de lucro
• Petróleo

• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Servicios básicos y sanitarios
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel Ciber Secure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC 's en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de mal spam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (Appdata, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.