ENTEL Weekly Threat Intelligence Brief del 06 de marzo al 12 de marzo de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• VMware Tanzu publica nuevos avisos de seguridad que afectan a sus productos
• Prueba de concepto lanzada para error crítico de Microsoft Word RCE
• Los ataques con malware Emotet regresan después de un receso de tres meses
• Lazarus Group aprovecha vulnerabilidad de día cero para hackear entidad financiera de Corea del Sur
• Microsoft Excel ahora bloquea los complementos XLL que no son de confianza de forma predeterminada
• Productos Fortinet afectados por vulnerabilidades
• Conglomerado brasileño sufre filtración de datos de 3 TB
• HiatusRAT surge como nuevo actor de amenazas para infectar enrutadores de nivel empresarial
• Cisco publica nuevos avisos de seguridad que afectan a sus productos
• Jenkins publica aviso de seguridad que afecta a sus complementos
• Malvertising a través de motores de búsqueda
• Brasil incauta envíos de Flipper Zero, para evitar su uso en delitos informáticos
• Dispositivos SonicWall infectados por malware que sobrevive a las actualizaciones de firmware
• Ransomware IceFire, ahora arremete contra redes empresariales con sistemas Linux
• Nueva vulnerabilidad afecta a productos Trellix
• La botnet Prometei evoluciona e infectó más de 10.000 sistemas desde noviembre de 2022
• La banda de Ransomware Clop, comienza a extorsionar a sus víctimas de GoAnywhere

Ransomware IceFire, ahora arremete contra redes empresariales con sistemas Linux

El grupo de investigación SentinelLabs observó ataques de ransomware IceFire, contra nuevas versiones de Linux, dentro de las intrusiones de la red empresarial de varias organizaciones del sector de medios y entretenimiento en todo el mundo.

Las investigaciones preliminares indican que los atacantes implementaron el ransomware explotando el CVE-2022-47986, asociado a una vulnerabilidad de deserialización en el software, para compartir archivos IBM Aspera Faspex.

Los operadores del malware IceFire, que anteriormente se enfocaban solo en Windows, ahora han ampliado su enfoque para atacar a sistemas Linux. Este cambio estratégico es un movimiento significativo que los alinea con otros grupos de ransomware que también apuntan a este sistema operativo.

La banda de Ransomware Clop, comienza a extorsionar a sus víctimas de GoAnywhere

GoAnywhere es una solución de transferencia de archivos web, que permite a las empresas transferir de forma segura archivos cifrados con sus socios mientras mantienen registros de auditoría detallados de quién accedió a los archivos.

La pandilla de ransomware Clop ha comenzado a extorsionar a las empresas cuyos datos fueron robados utilizando una vulnerabilidad de día cero, en la solución segura de intercambio de archivos Fortra GoAnywhere MFT.

En febrero de 2023, los desarrolladores de la solución de transferencia de archivos GoAnywhere MFT advirtieron a los clientes que se estaba explotando activamente, una vulnerabilidad de ejecución remota de código (RCE) de día cero  en las consolas administrativas expuestas.

Lazarus Group aprovecha vulnerabilidad de día cero para hackear entidad financiera de Corea del Sur

Lazarus Group, vinculado a Corea del Norte, usa como arma cibernética, fallas en un software (no revelado), para vulnerar a una entidad comercial financiera en Corea del Sur, esto ocurrió dos veces el año pasado, en los meses de mayo y octubre respectivamente, el último ataque implicó la explotación de un día cero en el mismo programa.

En estos ataques Lazarus Group utiliza la técnica Bring Your Own Vulnerable Driver (BYOVD), para deshabilitar los motores de detección antimalware.

Una de las características utilizadas por este grupo para ocultar el comportamiento malicioso, es cambiar los nombres de los archivos antes de eliminarlos y modificar las marcas de tiempo a través de técnicas antiforenses como timestomping.

Lazarus Group está investigando constantemente las vulnerabilidades de varios programas y está actualizando constantemente sus TTP.

Dispositivos SonicWall infectados por malware que sobrevive a las actualizaciones de firmware

Mandiant junto a SonicWall han detectado una supuesta campaña china de piratería (UNC4540), centrada en los dispositivos SonicWall Secure Mobile Access (SMA) sin parches, para instalar malware personalizado que establece la persistencia a largo plazo para las campañas de ciberespionaje.

El malware es utilizado para robar las credenciales de los usuarios, proporcionando acceso shell a los atacantes e incluso persistir a través de las actualizaciones de firmware. Esta amenaza consiste en un binario ELF, la puerta trasera TinyShell y varios scripts bash que muestran una detección profunda de los dispositivos de red de la víctima. Mandiant dice que el malware está instalado desde 2021 y persistió a través de múltiples actualizaciones de firmware posteriores en el dispositivo. Los actores de amenazas lograron esto mediante el uso de scripts que ofrecen redundancia y aseguran el acceso a largo plazo a los dispositivos comprometidos.

En los últimos años atacantes de origen chino, han implementado múltiples exploits de día cero y malware para una variedad de dispositivos de red expuestos a Internet, enfocando sus esfuerzos en el rubro empresarial.

La botnet Prometei evoluciona e infectó a más de 10.000 sistemas desde noviembre del 2022

Investigadores de Cisco Talos, informaron que la red de bots Prometei  ha infectado a más de 10.000 sistemas en todo el mundo desde noviembre del 2022. Recordemos que esta red de bots de criptominería, tiene una estructura modular y emplea múltiples técnicas para infectar sistemas y evadir la detección.

Esta botnet fue descubierta por primera vez en julio de 2020, pero a raíz de una investigación profunda realizada con los artefactos cargados en  VirusTotal, permitió determinar, que esta botnet puede haber estado activa al menos desde mayo de 2016. Los expertos señalaron que el malware se ha actualizado constantemente a través de la implementación de nuevos módulos y funcionalidades.

Los ataques con malware Emotet regresan después de un receso de tres meses

El pasado martes 7 de marzo de 2023, el malware Emotet volvió a enviar correos electrónicos no deseados, después de un descanso de tres meses, reconstruyendo su red e infectando dispositivos en todo el mundo.

Emotet es un malware ya conocido por investigadores en todo el mundo, se distribuye a través de correos electrónicos que contienen archivos adjuntos maliciosos de Microsoft Word y Excel. Cuando los usuarios abren estos documentos y las macros están habilitadas, la DLL de Emotet se descargará e instalará en la memoria, permaneciendo de forma silenciosa, esperando instrucciones de un servidor de comando y control remoto. Ya en el equipo infectado, el malware robará los correos electrónicos y los contactos de las víctimas para usarlos en futuras campañas de Emotet o descargar cargas útiles adicionales como  Cobalt Strike  u otro malware que comúnmente conduce a ataques de ransomware.

Microsoft Excel ahora bloquea los complementos XLL que no son de confianza de forma predeterminada

Microsoft anunció  este cambio en enero para ser aplicado a la hoja de trabajo de Microsoft 365. Esta nueva función estará disponible de forma general en todo el mundo a finales de marzo.

Estos cambios también serán liberados para las aplicaciones de escritorio de Excel Windows, que ejecutan complementos XLL: los complementos XLL de ubicaciones que no son de confianza ahora se bloquearán de forma predeterminada, dijo Microsoft en una nueva publicación del centro de mensajes de Microsoft 365.

En el futuro, se mostrará una alerta cuando los usuarios intenten habilitar el contenido de ubicaciones que no son de confianza, informándoles del riesgo potencial y permitiéndoles encontrar más información sobre por qué están viendo la advertencia. Esto es parte de un esfuerzo más amplio para abordar el aumento de campañas de malware que abusan de varios formatos de documentos de Office como vector de infección en los últimos años.

Los complementos XLL han sido utilizados tanto por grupos de amenazas respaldados por el estado, como por atacantes motivados financieramente (APT10 ,  FIN7 ,  Donot ,  TA410 ), para implementar cargas útiles maliciosas en los sistemas de sus objetivos.

Conglomerado brasileño sufre filtración de datos de 3 TB

La multinacional brasileña Andrade Gutiérrez, con sede en Belo Horizonte, es una de las firmas de ingeniería más grandes de América Latina, responsable de importantes proyectos de infraestructura, energía, petróleo, gas y transporte en toda la región.

Sin embargo, un grupo de ciber actores conocido como "Dark Angels", afirma haber robado 3 TB de correos electrónicos e información corporativa, incluidos nombres, direcciones de correo electrónico, detalles de pasaportes, información de pago, números de identificación fiscal e información de seguro médico de más de 10,000 empleados. Según cuenta un informe, existen correos electrónicos con contraseñas que podrían usarse para iniciar sesión en las cuentas de las autoridades fiscales municipales y estatales, también habrían planos de varios proyectos de construcción de renombre completados por Andrade Gutiérrez, incluidos puertos, aeropuertos y varias instalaciones utilizadas en la Copa del Mundo de 2014 y los Juegos Olímpicos de 2016 celebrados en Brasil.

Sin embargo, se dice que la brecha ocurrió en septiembre-octubre del año 2022 y se logró mediante la explotación de una vulnerabilidad del servidor no parchada.

HiatusRAT surge como nuevo actor de amenazas, para infectar enrutadores de nivel empresarial

Un nuevo y sofisticado malware, denominado HiatusRAT, está apuntando a varios enrutadores de nivel empresarial y ha surgido en el panorama de amenazas.

Investigadores de Lumen Black Lotus Labs, encontraron actores de amenazas dirigidos a los enrutadores DrayTek Vigor, infectados con el malware Hiatus y una variante de tcpdump, que permite la captura de paquetes de red.

Al menos 100 computadoras han sido infectadas, principalmente en Europa y América Latina, en algunos casos, el malware también se encontró apuntando a enrutadores que ejecutan arquitecturas basadas en MIPS y ARM, al parecer el objetivo final de los actores, era establecer una red proxy encubierta y recopilar datos confidenciales de los sistemas comprometidos.

Entre las capacidades de HiatusRAT se destacan las siguientes: registrar en secreto las actividades de las víctimas y recopilar información del sistema, como la dirección MAC, la versión del kernel, el nombre del proceso, el UID y la versión del firmware, también recopila información de la red, como las salidas del comando ifconfig y el caché ARP. 

Los investigadores indican que la campaña ha estado activa desde julio de 2022 y los actores de amenazas mantienen una huella mínima para limitar su exposición.

Malvertising a través de motores de búsqueda

En los últimos meses, ha existido un aumento en la cantidad de campañas maliciosas que usan publicidad de Google, detectándose que está siendo utilizado para distribuir malware. Al menos se han detectado dos stealer diferentes, llamados Rhadamanthys y RedLine.

Estos hacían uso del plan de promoción del motor de búsqueda de Google, para entregar cargas maliciosas a las víctimas, engañandolos con copias de sitios web falsos similares a los de Notepad ++ y Blender 3D. Para hacer más creíble el engaño en la URL falsa, utilizan los nombres de dominio aludiendo al software o proveedor original. El diseño y el contenido de las páginas web falsas se parecen a los de las originales. Luego, los actores de amenazas pagan para promocionar el sitio web en el motor de búsqueda y así llevarlo a los primeros resultados de búsqueda, esta técnica es conocida como “malvertising”.

Brasil incauta envíos de Flipper Zero, para evitar su uso en delitos informáticos

Flipper Zero, es una herramienta portátil multifunción de ciberseguridad que permite a los pentesters e investigadores, jugar con una amplia gama de hardware al admitir la emulación RFID, la clonación de claves de acceso digital, las comunicaciones por radio, NFC, Bluetooth, infrarrojos, entre otros.

La Agencia Nacional de Telecomunicaciones de Brasil está incautando las compras provenientes del extranjero de Flipper Zero, debido a su presunto uso en actividades delictivas. 

Distintos investigadores de seguridad han demostrado las funciones de Flipper Zero en las redes sociales, mostrando cómo puede activar timbres, realizar ataques de fuerza bruta, abrir puertas de garaje, desbloquear automóviles, y usarse como llave digital.

VMware Tanzu publica nuevos avisos de seguridad que afectan a sus productos

VMware Tanzu ha publicado 3 vulnerabilidades, las cuales son todas de severidad Alta, afectando a los siguientes productos: Platform Automation Toolkit, Isolation Segmen, Operations Manager, VMware Tanzu Application Service for VMs, para más detalles verifique los siguientes CVE-2022-40303, CVE-2022-40304, CVE-2022-2309.

Prueba de concepto lanzada para error crítico de Microsoft Word RCE

El investigador de seguridad Joshua Drake, descubrió el año pasado la vulnerabilidad en "wwlib[.]dll" de Microsoft Office y envió a Microsoft un aviso técnico que contenía un código de prueba de concepto (PoC), demostrando la explotación de la vulnerabilidad, esta consistía en que un atacante remoto podría ejecutar código con los mismos privilegios que la víctima al momento de descargar un documento [.]RTF malicioso.

Las vulnerabilidades críticas como esta, llaman la atención de los actores de amenazas, y los más avanzados intentan aplicar ingeniería inversa a la solución para encontrar una manera de aprovecharla. Joshua fue capaz de recortar las líneas de código de la PoC y encajarlas en un tweet que publicó hace unos días atrás.

Productos Fortinet afectados por vulnerabilidades

Fortinet ha publicado 15 nuevos avisos de seguridad que afectan a los siguientes productos: FortiOS, FortiProxy, FortiAnalyzer, FortiWeb, entre otros.

La más crítica está relacionada con una vulnerabilidad de desbordamiento de búfer en la interfaz administrativa de FortiOS y FortiProxy, la cual puede permitir que un atacante remoto no autenticado, ejecute código arbitrario en el dispositivo y/o realice una Denegación de Servicios (DoS) en la GUI, a través de solicitudes diseñadas específicamente. Para más detalles consulte las siguientes CVE-2023-25610, CVE-2022-406762, CVE-2022-39953, CVE-2022-42476, CVE-2023-25605, CVE-2022-39951.

Cisco publica nuevos avisos de seguridad que afectan a sus productos

Cisco ha publicado 2 nuevos avisos de seguridad que se clasifican en 1 de severidad Alta y 1 de severidad Media afectando a  Cisco IOS XR. 

Estas vulnerabilidades afectan a enrutadores de la serie ASR 9000 y al gestor de arranque del software Cisco IOS XR. Para más detalles sobre estas vulnerabilidades verifique los siguientes CVE-2023-20049, CVE-2023-20104.

Jenkins publica aviso de seguridad que afecta a sus complementos

El servidor open source Jenkins, publicó un aviso de seguridad que contiene 9 vulnerabilidades, para los siguientes complementos: Jenkins weekly, Jenkins LTS, Update-center. Estas vulnerabilidades más graves, están relacionadas con una posible explotación de comandos entre sitios XSS y la creación de un archivo temporal cuando se carga un complemento desde el administrador del sistema.

Para más detalles verifique los siguientes CVE-2023-27898, CVE-2023-27899.

Nueva vulnerabilidad afecta a productos Trellix

Trellix ha publicado un nuevo aviso de seguridad que contiene 1 vulnerabilidad, la cual se clasifica como severidad media, afecta al producto Trellix Intelligent Sandbox. Esta vulnerabilidad permite a un usuario local inyectar y ejecutar comandos arbitrarios del sistema operativo, utilizando cadenas especialmente diseñadas. Para más información verifique el siguiente CVE-2023-0978​​.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 13 de marzo  al 19  de marzo de 2023:

Objetivos observados durante semana de análisis: 

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Infraestructura tecnológica - Componentes

• Educación
• Infraestructura tecnológica
• Transportes y servicios automotrices

• Servicios legales y profesionales
• Defensa y orden público
• Entretenimiento, cultura y arte
• Servicios de salud, sociales y farmacia

• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.