El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
Nuevo kit de post-explotación Exfiltrator-22 vinculado al ransomware LockBit
Actores de amenazas están promocionando un nuevo marco de post-explotación llamado 'Exfiltrator-22' y diseñado para propagar ransomware en redes corporativas mientras evade la detección.
Los analistas de amenazas de CYFIRMA afirman que este nuevo marco fue creado por antiguos afiliados de Lockbit 3.0 expertos en antianálisis y evasión de defensas, que ofrecen una solución robusta a cambio de una cuota de suscripción.
Los precios de Exfiltrator-22 oscilan entre 1.000 dólares al mes y 5.000 dólares por el acceso de por vida, ofreciendo actualizaciones y soporte continuos donde los compradores del framework reciben un panel de administración alojado en un VPS (servidor virtual privado) desde el que pueden controlar el malware del framework y emitir comandos a los sistemas comprometidos.
LastPass dice que el ordenador de casa de un ingeniero DevOps fue hackeado
La empresa de software de gestión de contraseñas LastPass dice que uno de sus ingenieros de DevOps tuvo un ordenador personal en casa intervenido, donde se implantó con malware keylogger como parte de un ciberataque sostenido que logró exfiltrar datos corporativos de recursos de almacenamiento en la nube.
LastPass comunicó recientemente un "segundo ataque" en el que un actor de amenaza anónimo combinó datos robados de una brecha de agosto con información disponible de una brecha de datos de terceros, y una vulnerabilidad en un paquete de software de medios de terceros para lanzar un ataque coordinado.
Miles de servidores en la nube en el punto de mira de Nevada group
Nuevo grupo de ransomware aún no identificado pero apodado "Nevada Group" ha lanzado uno de los mayores ataques de ransomware de la historia con el objetivo de paralizar las redes informáticas de casi 5.000 víctimas en Europa y Estados Unidos.
Los atacantes tienen como objetivo una vulnerabilidad fácil de corregir en un pequeño fragmento de código, que se encuentra habitualmente en los servidores en nube en donde la mayoría de las entidades objetivo utilizan productos VMware alojados en los servicios de hosting de bajo coste ofrecidos por el proveedor europeo de cloud computing OVHcloud
Estos ataques se producen en medio de un fuerte aumento de los ataques de ransomware dirigidos a empresas industriales.
Bitdefender lanza un decryptor para el ransomware MortalKombat
Desde BitDefender han disponibilizado públicamente para su descarga un nuevo descifrador para el ransomware MortalKombat, que ha estado vigilando desde que apareció por primera vez en línea en enero de este año.
Basado en el ransomware Xorist, MortalKombat se propaga a través de correos electrónicos de phishing y se dirige a instancias RDP expuestas. El malware se implanta a través del BAT Loader, que también distribuye el malware Laplas Clipper.
APT-C-36 ataca de nuevo: Los hackers de Blind Eagle atacan industrias clave en Colombia
El actor de amenazas conocido como Blind Eagle ha sido vinculado a una nueva campaña dirigida a varias industrias clave en Colombia.
La actividad, que fue detectada por el Equipo de Investigación e Inteligencia de BlackBerry el 20 de febrero de 2023, dice que también abarca Ecuador, Chile y España, lo que sugiere una lenta expansión de la huella del grupo de actores maliciosos.
Adicionalmente, la empresa canadiense de ciberseguridad afirma que entre las entidades atacadas se encuentran entidades sanitarias, financieras, policiales, de inmigración y un organismo encargado de la negociación de la paz en Colombia.
Hackers chinos se mantuvieron dentro de la red de News Corp durante dos años
La organización estadounidense de medios de comunicación y publicación News Corp ha revelado recientemente la violación de datos que comenzó en 2020 y continuó hasta 2022. donde los atacantes tuvieron acceso a las redes de la empresa y pudieron acceder en múltiples ocasiones a correos electrónicos y otros sistemas de almacenamiento.
Los hallazgos se basaron en el informe de Mandiant, que reveló además que se cree que los atacantes implicados en este ataque operan en interés del gobierno de China.
El 4 de febrero de 2022, The Wall Street Journal informó de que el incidente había afectado a varias empresas, entre ellas el New York Post, The Wall Street Journal y su empresa matriz Dow Jones, y sus operaciones de noticias con sede en el Reino Unido, incluidas News UK, y la sede de News Corp.
Nuevas incorporaciones de Lazarus: Wslink Loader y WinorDLL64 Backdoor
Los investigadores de ESET han descubierto un loader de binarios de Windows único llamando Wslink por una de sus DLL y que hasta ahora no ha sido descrito previamente y que se ejecuta como servidor para lanzar los módulos recibidos en memoria,
En los últimos dos años, sólo se han detectado unos pocos casos en Europa Central, Norteamérica y Oriente Medio, sin embargo, hasta el momento no se conoce el vector de compromiso inicial y la mayoría de las muestras están empaquetadas con MPRESS con algunas partes del código virtualizadas.
Adicionalmente, no existen similitudes de código, funcionalidad u operativas que sugieran que se trata de una herramienta de un grupo conocido de actores de amenazas.
MQsTTang: El último backdoor de Mustang Panda pisa nuevos terrenos con Qt y MQTT
Los investigadores de ESET han analizado MQsTTang, un nuevo backdoor personalizado que se atribuye al grupo APT Mustang Panda. Este backdoor forma parte de una campaña en curso rastreada hasta principios de enero de 2023 y que a diferencia de la mayoría del malware del grupo, MQsTTang no parece estar basado en familias existentes o proyectos disponibles públicamente.
Mustang Panda es conocido por sus variantes personalizadas de Korplug (también conocidas como PlugX) y sus elaboradas cadenas de carga que a diferencia de las tácticas habituales del grupo, MQsTTang tiene una sola etapa y no utiliza técnicas de ofuscación.
RIG Exploit Kit sigue infectando a usuarios empresariales a través de Internet Explorer
El RIG Exploit Kit está atravesando su período de mayor éxito, con unos 2.000 intentos de intrusión diarios y un 30% de éxito, siendo la proporción más alta en la larga historia operativa del servicio, y que aprovechando vulnerabilidades relativamente antiguas de Internet Explorer, se ha visto a RIG EK distribuyendo varias familias de malware, como Dridex, SmokeLoader y RaccoonStealer.
Identifican un infostealer y un troyano en un paquete de Python en PyPI
Se ha descubierto que un paquete malicioso de Python subido al Python Package Index (PyPI) que contiene un malware infostealer y un RAT con todas sus funciones.
El paquete, denominado colourfool, denominado Colour-Blind podría conducir a una intensificación del panorama de amenazas, ya que se pueden generar múltiples variantes a partir de código procedente de otros.
Colourfool, al igual que otros módulos Python maliciosos descubiertos en los últimos meses, oculta su código malicioso en el script de instalación, que apunta a un archivo ZIP alojado en Discord.
Adicionalmente el archivo contiene un script Python (code.py) que incluye módulos diseñados para registrar pulsaciones de teclas, robar cookies e incluso desactivar software de seguridad.
FiXS, un nuevo malware para cajeros automáticos dirigido a bancos mexicanos
Investigadores de Metabase Q han detectado recientemente un nuevo malware para cajeros automáticos, bautizado como FiXS, que está siendo utilizado para atacar bancos mexicanos.
Los expertos aún no han determinado el vector de ataque inicial, pero informaron de que FiXS utiliza un teclado externo (similar a Ploutus) donde los actores de la amenaza conectan físicamente un teclado externo al cajero para lanzar el ataque.
Las principales características relevantes del malware FiXS para cajeros automáticos:
XFS (extensiones para servicios financieros) proporciona una arquitectura cliente-servidor para aplicaciones financieras en la plataforma Microsoft Windows, especialmente dispositivos periféricos como terminales EFTPOS y cajeros automáticos, que son exclusivos del sector financiero.
Vulnerabilidad en un popular tema inmobiliario explotada para acceder a sitios web de WordPress
Una vulnerabilidad crítica que afecta al tema premium de WordPress Houzez ha sido explotada activamente.
Houzez es un tema premium para el sector inmobiliario, con más de 35.000 ventas en ThemeForest que permite a las agencias gestionar fácilmente el contenido y los listados de sus productos, en el cual se descubrió recientemente que su plugin asociado “Houzez Login Register” está afectado por una vulnerabilidad crítica que puede permitir a un atacante no autenticado acceder a sitios web de WordPress.
CISA advierte de la explotación activa de la vulnerabilidad ZK Java Web Framework
CISA ha añadido a su catálogo de Vulnerabilidades Explotadas Conocidas un fallo de alta gravedad que afecta a ZK Framework, basándose en pruebas de explotación activa.
Identificado como CVE-2022-36537 [CVSS: 7,5], el problema afecta a las versiones 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 y 8.6.4.1 de ZK Framework, y permite a los actores de amenazas recuperar información confidencial a través de peticiones especialmente diseñadas.
ZK Framework es un framework Java de código abierto, por tanto esta vulnerabilidad puede afectar a múltiples productos que hagan uso de este.
Cisco publica un aviso de seguridad para los teléfonos IP de Cisco
Cisco ha publicado un aviso de seguridad sobre vulnerabilidades que afectan a las series 6800, 7800, 7900 y 8800 de teléfonos IP de Cisco y que un atacante remoto podría aprovechar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.
Vulnerabilidades críticas permiten a los hackers tomar el control total de los PLC de Wago
El proveedor alemán de soluciones de automatización industrial Wago ha publicado parches para varios de sus controladores lógicos programables (PLC) con el fin de solucionar cuatro vulnerabilidades, entre ellas unas que pueden aprovecharse para tomar el control total del dispositivo atacado.
A dos de los fallos se les ha asignado una calificación de gravedad crítica, donde uno de ellos, es un problema de falta de autenticación registrado como CVE-2022-45138, que puede ser aprovechado por un atacante no autenticado para leer y configurar algunos parámetros del dispositivo, lo que puede llevar a un compromiso total del controlador.
La segunda vulnerabilidad crítica, CVE-2022-45140, permite a un atacante no autenticado escribir datos arbitrarios con privilegios de root, lo que puede dar lugar a la ejecución de código arbitrario y a un compromiso total del sistema.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 06 al 12 de marzo de 2023:
Objetivos observados durante semana de análisis:
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Tipo | Indicador |
---|---|
Exfiltrator-22 | . |
ip | 23[.]216[.]147[.]76 |
hash | d61af007f6c792b8fb6c677143b... |
hash | 32746688a23543e674ce6dcf032... |
Blind Eagle | . |
ip | 67[.]214[.]175[.]69 |
Wslink Loader | . |
hash | 3bc8bbf4a1b3596e54e20609c39... |
MQsTTang | . |
hash | ee2c8909089f53aafc421d9853c... |
hash | 8c4926dd32204b6a666b274a78c... |
hash | 723d804cfc334cad788f86c39c7... |
hash | 2c0273394cda1b07680913edd70... |
ip | 217[.]12[.]206[.]116 |
ip | 45[.]134[.]83[.]29 |