ENTEL Weekly Threat Intelligence Brief del 27 de febrero al 05 de marzo de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Nuevo kit de post-explotación Exfiltrator-22 vinculado al ransomware LockBit
• APT-C-36 ataca de nuevo: Los hackers de Blind Eagle atacan industrias clave en Colombia
• Hackers chinos vivieron dentro de la red de News Corp durante dos años
• Nuevas incorporaciones de Lazarus: Wslink Loader y WinorDLL64 Backdoor
• LastPass dice que el ordenador de casa de un ingeniero DevOps fue hackeado
• Miles de servidores en la nube en el punto de mira del misterioso grupo de Nevada
• MQsTTang: El último backdoor de Mustang Panda pisa nuevos terrenos con Qt y MQTT
• Bitdefender lanza un desencriptador para el ransomware MortalKombat
• Vulnerabilidad en un popular tema inmobiliario explotada para piratear sitios web de WordPress
• CISA advierte de la explotación activa de la vulnerabilidad ZK Java Web Framework
• Cisco publica un aviso de seguridad para los teléfonos IP de Cisco
• Vulnerabilidades críticas permiten a los hackers tomar el control total de los PLC de Wago
• RIG Exploit Kit sigue infectando a usuarios empresariales a través de Internet Explorer
• Expertos identifican un roba información y un troyano en un paquete de Python en PyPI
• FiXS, un nuevo malware para cajeros automáticos dirigido a bancos mexicanos

Nuevo kit de post-explotación Exfiltrator-22 vinculado al ransomware LockBit

Actores de amenazas están promocionando un nuevo marco de post-explotación llamado 'Exfiltrator-22' y diseñado para propagar ransomware en redes corporativas mientras evade la detección.

Los analistas de amenazas de CYFIRMA afirman que este nuevo marco fue creado por antiguos afiliados de Lockbit 3.0 expertos en antianálisis y evasión de defensas, que ofrecen una solución robusta a cambio de una cuota de suscripción.

Los precios de Exfiltrator-22 oscilan entre 1.000 dólares al mes y 5.000 dólares por el acceso de por vida, ofreciendo actualizaciones y soporte continuos donde los compradores del framework reciben un panel de administración alojado en un VPS (servidor virtual privado) desde el que pueden controlar el malware del framework y emitir comandos a los sistemas comprometidos.

LastPass dice que el ordenador de casa de un ingeniero DevOps fue hackeado

La empresa de software de gestión de contraseñas LastPass dice que uno de sus ingenieros de DevOps tuvo un ordenador personal en casa intervenido, donde se implantó con malware keylogger como parte de un ciberataque sostenido que logró exfiltrar datos corporativos de recursos de almacenamiento en la nube.

LastPass comunicó recientemente un "segundo ataque" en el que un actor de amenaza anónimo combinó datos robados de una brecha de agosto con información disponible de una brecha de datos de terceros, y una vulnerabilidad en un paquete de software de medios de terceros para lanzar un ataque coordinado.

Miles de servidores en la nube en el punto de mira de Nevada group

Nuevo grupo de ransomware aún no identificado pero apodado "Nevada Group" ha lanzado uno de los mayores ataques de ransomware de la historia con el objetivo de paralizar las redes informáticas de casi 5.000 víctimas en Europa y Estados Unidos.

Los atacantes tienen como objetivo una vulnerabilidad fácil de corregir en un pequeño fragmento de código, que se encuentra habitualmente en los servidores en nube en donde la mayoría de las entidades objetivo utilizan productos VMware alojados en los servicios de hosting de bajo coste ofrecidos por el proveedor europeo de cloud computing OVHcloud

Estos ataques se producen en medio de un fuerte aumento de los ataques de ransomware dirigidos a empresas industriales.

Bitdefender lanza un decryptor para el ransomware MortalKombat

Desde BitDefender han disponibilizado públicamente para su descarga un nuevo descifrador para el ransomware MortalKombat, que ha estado vigilando desde que apareció por primera vez en línea en enero de este año.

Basado en el ransomware Xorist, MortalKombat se propaga a través de correos electrónicos de phishing y se dirige a instancias RDP expuestas. El malware se implanta a través del BAT Loader, que también distribuye el malware Laplas Clipper.

APT-C-36 ataca de nuevo: Los hackers de Blind Eagle atacan industrias clave en Colombia

El actor de amenazas conocido como Blind Eagle ha sido vinculado a una nueva campaña dirigida a varias industrias clave en Colombia.

La actividad, que fue detectada por el Equipo de Investigación e Inteligencia de BlackBerry el 20 de febrero de 2023, dice que también abarca Ecuador, Chile y España, lo que sugiere una lenta expansión de la huella del grupo de actores maliciosos.

Adicionalmente, la empresa canadiense de ciberseguridad afirma que entre las entidades atacadas se encuentran entidades sanitarias, financieras, policiales, de inmigración y un organismo encargado de la negociación de la paz en Colombia.

Hackers chinos se mantuvieron dentro de la red de News Corp durante dos años

La organización estadounidense de medios de comunicación y publicación News Corp ha revelado recientemente la violación de datos que comenzó en 2020 y continuó hasta 2022. donde los atacantes tuvieron acceso a las redes de la empresa y pudieron acceder en múltiples ocasiones a correos electrónicos y otros sistemas de almacenamiento.

Los hallazgos se basaron en el informe de Mandiant, que reveló además que se cree que los atacantes implicados en este ataque operan en interés del gobierno de China.

El 4 de febrero de 2022, The Wall Street Journal informó de que el incidente había afectado a varias empresas, entre ellas el New York Post, The Wall Street Journal y su empresa matriz Dow Jones, y sus operaciones de noticias con sede en el Reino Unido, incluidas News UK, y la sede de News Corp.

Nuevas incorporaciones de Lazarus: Wslink Loader y WinorDLL64 Backdoor

Los investigadores de ESET han descubierto un loader de binarios de Windows único  llamando Wslink por una de sus DLL y que hasta ahora no ha sido descrito previamente y que se ejecuta como servidor para lanzar los módulos recibidos en memoria,

En los últimos dos años, sólo se han detectado unos pocos casos en Europa Central, Norteamérica y Oriente Medio, sin embargo, hasta el momento no se conoce el vector de compromiso inicial y la mayoría de las muestras están empaquetadas con MPRESS con algunas partes del código virtualizadas.

Adicionalmente, no existen similitudes de código, funcionalidad u operativas que sugieran que se trata de una herramienta de un grupo conocido de actores de amenazas.

MQsTTang: El último backdoor de Mustang Panda pisa nuevos terrenos con Qt y MQTT

Los investigadores de ESET han analizado MQsTTang, un nuevo backdoor personalizado que se atribuye al grupo APT Mustang Panda. Este backdoor forma parte de una campaña en curso rastreada hasta principios de enero de 2023 y que a diferencia de la mayoría del malware del grupo, MQsTTang no parece estar basado en familias existentes o proyectos disponibles públicamente.

Mustang Panda es conocido por sus variantes personalizadas de Korplug (también conocidas como PlugX) y sus elaboradas cadenas de carga que a diferencia de las tácticas habituales del grupo, MQsTTang tiene una sola etapa y no utiliza técnicas de ofuscación.

RIG Exploit Kit sigue infectando a usuarios empresariales a través de Internet Explorer

El RIG Exploit Kit está atravesando su período de mayor éxito, con unos 2.000 intentos de intrusión diarios y un 30% de éxito, siendo la proporción más alta en la larga historia operativa del servicio, y que aprovechando vulnerabilidades relativamente antiguas de Internet Explorer, se ha visto a RIG EK distribuyendo varias familias de malware, como Dridex, SmokeLoader y RaccoonStealer.

Identifican un infostealer y un troyano en un paquete de Python en PyPI

Se ha descubierto que un paquete malicioso de Python subido al Python Package Index (PyPI) que contiene un malware infostealer y un RAT con todas sus funciones.

El paquete, denominado colourfool, denominado Colour-Blind podría conducir a una intensificación del panorama de amenazas, ya que se pueden generar múltiples variantes a partir de código procedente de otros.

Colourfool, al igual que otros módulos Python maliciosos descubiertos en los últimos meses, oculta su código malicioso en el script de instalación, que apunta a un archivo ZIP alojado en Discord.

Adicionalmente el archivo contiene un script Python (code.py) que incluye módulos diseñados para registrar pulsaciones de teclas, robar cookies e incluso desactivar software de seguridad.

FiXS, un nuevo malware para cajeros automáticos dirigido a bancos mexicanos

Investigadores de Metabase Q han detectado recientemente un nuevo malware para cajeros automáticos, bautizado como FiXS, que está siendo utilizado para atacar bancos mexicanos.

Los expertos aún no han determinado el vector de ataque inicial, pero informaron de que FiXS utiliza un teclado externo (similar a Ploutus) donde los actores de la amenaza conectan físicamente un teclado externo al cajero para lanzar el ataque. 

Las principales características relevantes del malware FiXS para cajeros automáticos:

• Ordena al cajero que dispense dinero 30 minutos después del último reinicio del cajero.
• Está oculto dentro de otro programa que no parece malicioso.
• Es independiente del proveedor y se dirige a cualquier cajero automático compatible con CEN XFS.
• Interactúa con los delincuentes a través de un teclado externo.
• Contiene metadatos rusos.
• Está incrustado en un dropper, que los expertos detectaron por la presencia de cadenas relacionadas con XFS.

XFS (extensiones para servicios financieros) proporciona una arquitectura cliente-servidor para aplicaciones financieras en la plataforma Microsoft Windows, especialmente dispositivos periféricos como terminales EFTPOS y cajeros automáticos, que son exclusivos del sector financiero.

Vulnerabilidad en un popular tema inmobiliario explotada para acceder a sitios web de WordPress

Una vulnerabilidad crítica que afecta al tema premium de WordPress Houzez ha sido explotada activamente.

Houzez es un tema premium para el sector inmobiliario, con más de 35.000 ventas en ThemeForest que permite a las agencias gestionar fácilmente el contenido y los listados de sus productos, en el cual se descubrió recientemente que su plugin asociado “Houzez Login Register” está afectado por una vulnerabilidad crítica que puede permitir a un atacante no autenticado acceder a sitios web de WordPress.

CISA advierte de la explotación activa de la vulnerabilidad ZK Java Web Framework

CISA ha añadido a su catálogo de Vulnerabilidades Explotadas Conocidas un fallo de alta gravedad que afecta a ZK Framework, basándose en pruebas de explotación activa.

Identificado como CVE-2022-36537 [CVSS: 7,5], el problema afecta a las versiones 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 y 8.6.4.1 de ZK Framework, y permite a los actores de amenazas recuperar información confidencial a través de peticiones especialmente diseñadas.

ZK Framework es un framework Java de código abierto, por tanto esta vulnerabilidad puede afectar a múltiples productos que hagan uso de este.

Cisco publica un aviso de seguridad para los teléfonos IP de Cisco

Cisco ha publicado un aviso de seguridad sobre vulnerabilidades que afectan a las series 6800, 7800, 7900 y 8800 de teléfonos IP de Cisco y que un atacante remoto podría aprovechar algunas de estas vulnerabilidades para tomar el control de un sistema afectado. 

Vulnerabilidades críticas permiten a los hackers tomar el control total de los PLC de Wago

El proveedor alemán de soluciones de automatización industrial Wago ha publicado parches para varios de sus controladores lógicos programables (PLC) con el fin de solucionar cuatro vulnerabilidades, entre ellas unas que pueden aprovecharse para tomar el control total del dispositivo atacado.

A dos de los fallos se les ha asignado una calificación de gravedad crítica, donde uno de ellos,  es un problema de falta de autenticación registrado como CVE-2022-45138, que puede ser aprovechado por un atacante no autenticado para leer y configurar algunos parámetros del dispositivo, lo que puede llevar a un compromiso total del controlador.

La segunda vulnerabilidad crítica, CVE-2022-45140, permite a un atacante no autenticado escribir datos arbitrarios con privilegios de root, lo que puede dar lugar a la ejecución de código arbitrario y a un compromiso total del sistema.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 06 al 12 de marzo de 2023:

Objetivos observados durante semana de análisis: 

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

• Educación
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Defensa y orden público

• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Banca y Finanzas
• Entretenimiento, cultura y arte

• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.