ENTEL Weekly Threat Intelligence Brief del 13 al 19 de Marzo de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Lockbit ransomware compromete los sistemas de Maximum Industries
• Clop Ransomware revela violación de los datos de la firma de seguridad Rubrik con la explotación de GoAnywhere Zero-Day
• Clop ransomware agrega a su lista de víctimas  Hitachi Energy
• Ring,  otra víctima del grupo de ransomware ALPHV, también conocido por su malware BlackCat .
• Campaña activa de Ransomware IceFire contra Sistemas Linux
• Dark Pink APT comprometió objetivos del sudeste asiático con un malware llamado  KamiKakaBot.  
• YoroTrooper es llamado el nuevo grupo APT que ha estado apuntando a organizaciones gubernamentales y de energía en toda Europa. 
• El grupo APT29 vinculado a Rusia, abusa de sistemas legítimos de intercambio de información para apuntar a entidades gubernamentales. 
• APT vinculada a china está explotando activamente la vulnerabilidad Zero Day  Fortinet 
• GoBruteforcer es llamada la nueva botnet que está esparciendo malware a Variante de la botnet Prometei con nuevas funcionalidades 
• Productos Siemens se ven afectados por nuevas vulnerabilidades  
• Patch Day SAP – Marzo 2023
• Patch Tuesday Microsoft de marzo corrige 80 vulnerabilidades
• Kubernetes se convierte en el objetivo principal del cryptojacking.
• PoC de error crítico de Microsoft Outlook muestra lo fácil que es explotar la vulnerabilidad

Lockbit ransomware compromete los sistemas de Maximum Industries

De acuerdo al sitio de extorsión de Lockbit más de 3.000  dibujos certificados por ingenieros de Space-X fueron robados de los servidores de uno de los proveedores de la compañía Maximum Industries, que se conforma como una de las empresa que presta servicios de fabricación de las  piezas requeridas en el desarrollo de los proyectos de Space-X. Aún se desconoce las tácticas, técnicas y procedimientos que empleó el grupo de ransomware, sin embargo se conoce que continúa el proceso de negociación, puesto que aún no han puesto en subasta la información robada. 

Clop Ransomware revela violación de los datos de la firma de seguridad Rubrik con la explotación de GoAnywhere Zero-Day

Según lo observado en la noticia el ataque corresponde a una campaña a gran escala auspiciada por el grupo de ransomware Clop, que está dirigida principalmente  a los dispositivos MFT GoAnywhere en todo el mundo al explotar la vulnerabilidad de día cero rastreada con el CVE-2023-0669, que permite a los ciberactores la inyección de código remoto que afecta a GoAnywhere MFT. La vulnerabilidad sólo puede ser aprovechada por atacantes con acceso a la consola administrativa de la aplicación.

Clop ransomware agrega a su lista de víctimas  Hitachi Energy

Al igual que la firma de seguridad Rubrik, el grupo de ransomware Clop, agrega a su lista de víctimas a Hitachi Energy, tras la explotación de la vulnerabilidad de un proveedor de software externo llamado FORTRA GoAnywhere MFT (Transferencia de archivos administrados). Fortra recomienda a los clientes de GoAnywhere MFT que revisen a todos los usuarios administrativos y controlen los nombres de usuario no reconocidos, especialmente aquellos creados por el "sistema".

Ring,  otra víctima del grupo de ransomware ALPHV, también conocido por su malware BlackCat

El pasado 13 de marzo una de las empresas propiedad de Amazon, encargada del manejo de cámaras de seguridad en Cloud, fue publicada en el sitio de extorsión del grupo de ransomware ALPHV. Según la noticia observada, el compromiso inicial se dió desde las configuraciones de seguridad predeterminadas de Ring, que los ciberactores aprovecharon para ganar el acceso inicial. 

Campaña activa de Ransomware IceFire contra Sistemas Linux

Si bien el Ransomware Icefire no es nuevo, en el último tiempo ha sufrido un cambio de comportamiento en el ataque a sus víctimas, los cuales eran dirigidos a plataformas de Windows. Actualmente se ha detectado una campaña activa de  ataques de este mismo Ransomware contra distribuciones de Linux.

Estos ciberactores, han estado explotando una vulnerabilidad de uso compartido de IBM Aspera Faspex, asociada a sistemas corporativos.

IBM Aspera Faspex, es un sistema que permite el intercambio de archivos y carpetas mediante un flujo de trabajo rápido, similar al de correo electrónico, gracias al protocolo patentado por IBM llamado FASP, enfocándose en preservar el control y la seguridad de la información.

Los atacantes están haciendo uso de un exploit que afecta a la vulnerabilidad informada en el CVE-2022-47986, que fue recientemente parchada.

En esta nueva variante que afecta a Linux, se observa que los atacantes están cambiando su estrategia de compromiso inicial, en este caso explotando vulnerabilidades en lugar de la entrega tradicional a través de mensajes de phishing o a través de ciertas herramientas de terceros post explotación, como Empire, Metasploit o Cobalt Strike.

Este ransomware utiliza la extensión “[.]iFire” al momento de cifrar los archivos.

Las tácticas que han estado empleando los ciberactores, han sido enfocadas contra empresas de tecnología en áreas de comunicación y entretenimiento, implicando doble extorsión y el uso de numerosos mecanismos de persistencia, incluyendo también tácticas de evasión como la eliminación de archivos de registro, para no ser detectados.

Dark Pink APT comprometió objetivos del sudeste asiático con un malware llamado  KamiKakaBot.

El APT Dark Pink está activo en la región de la ASEAN y ha estado activo al menos desde mediados de 2021. El grupo se enfoca en organizaciones militares y gubernamentales para robar información confidencial, incluidos datos confidenciales y propiedad intelectual, apunta principalmente a organizaciones gubernamentales y militares.

De acuerdo a la observación del informe  de los investigadores de EclecticIQ, el malware KamiKakaBot se propaga a través de correos electrónicos de phishing que contienen un archivo ISO malicioso como archivo adjunto. El archivo de imagen ISO contiene un WinWord[.]exe que está legítimamente firmado por Microsoft, que se usa para lanzar un ataque de carga lateral de DLL, un cargador (MSVCR100[.]dll) y un documento de Microsoft Word señuelo. Al hacer clic en WinWord[.]exe, el cargador se ejecuta en la memoria de WinWord[.]exe y gana persistencia a través de una clave de registro en HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell que se usa para abusar de las funciones de Winlogon (componente de Windows).

YoroTrooper es llamado el nuevo grupo APT que ha estado apuntando a organizaciones gubernamentales y de energía en toda Europa. 

Los investigadores de Cisco Talos, descubrieron una campaña reciente de este grupo de ciberespionaje dirigido a países de la CEI (Azerbaiyán, Tayikistán, Kirguistán y otros Estados Independientes) y las embajadas y la agencia de atención médica de la UE desde al menos junio de 2022, los objetivos principales de este grupo son organizaciones gubernamentales y de energía. 

De acuerdo a lo observado en la investigación publicada el 14 de marzo del 2023, el arsenal de YoroTrooper incluye infostealers basados ​​en Python, personalizados y de código abierto, como el  ladrón Stink  envuelto en ejecutables a través del  marco Nuitka y PyInstaller. El grupo también empleó malware básico en su campaña, como AveMaria/Warzone RAT, LodaRAT y Meterpreter.

Los vectores de ataque empleados por éste grupo, son correos electrónicos de phishing con un archivo adjunto que contiene dos archivos, un archivo de acceso directo y un archivo PDF de señuelo, que crean archivos LNK maliciosos que actúan como descargadores  que usan mshta[.]exe para descargar y ejecutar un archivo HTA remoto en el punto final infectado.

La información robada de compromisos exitosos incluye credenciales de múltiples aplicaciones, historiales y cookies del navegador, información del sistema y capturas de pantalla.

El grupo APT29 vinculado a Rusia, abusa de sistemas legítimos de intercambio de información para apuntar a entidades gubernamentales. 

El grupo de investigadores de BlackBerry, descubrió la nueva campaña campaña de este grupo APT a principios de marzo. Este grupo también conocido como Nobellium, enfocó sus campañas en países de la unión europea específicamente en ataques orientados a  entidades y sistemas diplomáticos que transmitían información confidencial sobre la política de la región, ayudaban a los ciudadanos ucranianos que huían del país y brindaban ayuda al gobierno de Ucrania.

La cadena de ataque de este grupo APT,  comienza con un correo electrónico de spear-phishing que contiene un documento armado con un enlace que conduce a la descarga de un archivo HTML que están alojados en un sitio web de biblioteca en línea legítimo que probablemente se vio comprometido por los actores de amenazas en algún momento entre finales de enero de 2023 y principios de febrero de 2023.

El archivo HTML malicioso empleado en el ataque es una versión del dropper de NOBELIUM rastreado como ROOTSAW (también conocido como EnvyScout). EnvyScout utiliza la técnica de contrabando de HTML para enviar un archivo IMG o ISO al sistema de la víctima.

Entre los sistemas abusados se encuentran LegisWrite y eTrustEx, que utilizan las naciones de la UE para intercambiar información y datos de forma segura.

APT vinculada a china está explotando activamente la vulnerabilidad Zero Day  Fortinet 

Investigaciones recientes de Fortinet mencionan que un actor de amenaza persistente avanzada APT, está aprovechando la vulnerabilidad rastreada con el CVE-2022-41328 para apuntar sus ataques a entidades de gobierno. 

El actor de amenazas desconocido está explotando una vulnerabilidad en el software Fortinet FortiOS, que puede permitir que un atacante privilegiado lea y escriba archivos arbitrarios a través de comandos CLI manipulados.

Una vez comprometidos los dispositivos de Fortinet, los actores de la amenaza establecieron un acceso de puerta trasera utilizando dos programas maliciosos no documentados anteriormente, estableciendo una puerta trasera Thincrust basada en Python disfrazada de llamadas API legítimas y la puerta trasera pasiva Castletap que golpea el puerto ICMP.

GoBruteforcer es llamada la nueva botnet que está esparciendo malware a servidores web que ejecutan servicios FTP, MySQL, phpMyAdmin y Postgres.

Según los investigadores de Palo Alto, éste malware codificado en Golang, elige un bloque de enrutamiento entre dominios sin clases (CIDR) para escanear la red durante el ataque,  apuntando a todas las direcciones IP dentro de ese rango de CIDR.

Una vez que encuentra un host válido durante el escaneo, GoBruteforcer intenta obtener acceso al servidor a través de la fuerza bruta. Después de lograr el acceso,implementa un bot de IRC que contiene la URL del atacante que posteriormente intenta consultar el sistema de la víctima utilizando un shell web de PHP, según los investigadores se desconoce aún el vector inicial del ataque, sin embargo, se conoce que los ataques están dirigidos principalmente a plataformas similares a Unix (*nix), con versiones para arquitecturas x86, x64 y ARM.

Nueva variante de la botnet Prometei con nuevas funcionalidades

Según una investigación observada de Cisco Talos ,  la botnet de más de 10.000 sistemas infectados en todo el mundo, actualizó sus componentes e infraestructura para evadir los análisis forenses. 

Prometei, es una botnet altamente modular con capacidades similares a las de un gusano que implementa principalmente el minero de criptomonedas Monero, se ha mejorado y actualizado continuamente desde que se vio por primera vez en 2016, lo que representa una amenaza persistente para las organizaciones ya que implementa herramientas y malware basados ​​en Windows y otras versiones de Linux observadas por investigadores de seguridad .

Las intervenciones de éste malware son oportunistas por lo que apunta a entidades vulnerables en todas las regiones y de todas las industrias para respaldar un mayor rendimiento de credenciales recolectadas y minería de la criptomoneda Monero.

Surge nueva botnet llamada Hinatabot

De acuerdo a los investigadores de Akamai,  la botnet tiene sus comienzos a mediados de enero de 2023, sin embargo, se detectaron varias campañas activas en marzo del 2023. Las campañas apuntan principalmente a dispositivos Realtek SDK, enrutadores Huawei y servidores Hadoop YARN para reclutarlos en un enjambre DDoS (Denegación de Servicio Distribuida) con el potencial de ataques masivos.

Según los investigadores,  HinataBot está basado en una variante de Mirai que se distribuye mediante puntos finales SSH por fuerza bruta o mediante scripts de infección y cargas útiles RCE para explotar vulnerabilidades conocidas un Hadoop YARN RCE y la explotación de una vulnerabilidad en el servicio SOAP miniigd dentro de los dispositivos Realtek SDK (CVE-2014-8361) .

Productos Siemens se ven afectados por nuevas vulnerabilidades  

Siemens ha publicado 7 nuevos avisos de seguridad que contemplan 92 vulnerabilidades, las cuales se clasifican en 66 de severidad Crítica, 24 de severidad Alta y 2 de severidad Media.

Estas vulnerabilidades afectan a  productos como:

• Mendix 
• SIPROTEC
• SCALANCE 
• RUGGEDCOM

Patch Day SAP – Marzo 2023

En el martes de parches de marzo del 2023 SAP, se publicaron 19 nuevos avisos de seguridad para los productos SAP, de los cuales: 5 son de Severidad Crítica, 5 son de Severidad Alta y 12 de Severidad Media. Esta publicación contempla 22 vulnerabilidades nuevas.

Patch Tuesday Microsoft de marzo corrige 80 vulnerabilidades

En su actualización programada para el martes de parches de marzo del 2023, Microsoft  informó 80 correcciones de seguridad. Del total de vulnerabilidades, 9 son catalogadas como Críticas y corresponden a elevación de privilegios, denegación de servicios y ejecución de código remoto.

De las 80 CVE´s parchadas por Microsoft en el Patch Tuesday de marzo, 9 son clasificadas como Críticas , 70 clasificadas como Importantes y 1 como Moderada.

Adicionalmente, existen 29 vulnerabilidades asociadas a Chromium que no se consideran en el detalle anterior.

Estas vulnerabilidades se pueden segmentar de la siguiente forma:

• 27 Vulnerabilidades de ejecución de código remoto
• 21 Vulnerabilidades de elevación de privilegios
• 15 Vulnerabilidades de divulgación de información
• 11 Vulnerabilidades de suplantación de identidad
• 4 Vulnerabilidades de denegación de servicios
• 2 Vulnerabilidades de Security Feature Bypass

Kubernetes se convierte en el objetivo principal del cryptojacking.

En un informe de CrowdStrike de febrero de 2023, después de encontrar un comportamiento inusual al monitorear los clústeres de Kubernetes de los clientes, los investigadores evidenciaron que los ciberactores apuntan a infraestructura vulnerable de Kubernetes container orchestrator con API expuesta.

Según los observado en la investigación, la cadena de ataque comienza cuando los actores de amenazas escanean los clústeres de Kubernetes vulnerables y expuestos con la autenticación establecida en --anonymous-auth=true, lo que permite que cualquier persona acceda de forma anónima a la API de Kubernetes.

Después de obtener acceso a la API, los actores de amenazas implementarán un DaemonSet llamado "proxy-api" que permite a los atacantes utilizar los recursos de todos los nodos en el clúster simultáneamente y minar Dero utilizando los recursos disponibles.

Los mineros instalados se unirán a un grupo de minería Dero, donde todos contribuyen con poder de hash y reciben acciones de cualquier recompensa.

PoC de error crítico de Microsoft Outlook muestra lo fácil que es explotar la vulnerabilidad

Windows New Technology LAN Manager (NTLM) es un método de autenticación que se utiliza para iniciar sesión en dominios de Windows utilizando credenciales de inicio de sesión con hash.

Aunque la autenticación NTLM conlleva riesgos conocidos, todavía se usa en sistemas nuevos para lograr compatibilidad con sistemas más antiguos. Las credenciales con hash que el servidor recibe de un cliente cuando intenta acceder a un recurso compartido, como recursos compartidos SMB. En caso de robo, estos hash se pueden usar para autenticarse en la red, lo que permite a un ciberactor según explicó Microsoft; usar CVE-2023-23397 para obtener hashes NTLM enviando "un mensaje con una propiedad MAPI extendida con una ruta UNC a un recurso compartido SMB (TCP 445) en un servidor controlado por un actor de amenazas", por otro lado le permite al ciberactor obtener una secuencia de comandos que le permite buscar la propiedad "PidLidReminderFileParameter" dentro de los elementos de correo recibidos y eliminarla cuando estuviera presente, esto daba como resultado que el remitente pudiera definir el nombre de archivo que el cliente de Outlook debe reproducir cuando se activa el recordatorio del mensaje.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 27 de Marzo al 02 de Abril del 2023:

Objetivos observados durante semana de análisis:

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Infraestructura tecnológica - Componentes
• Educación
• Infraestructura tecnológica
• Transportes y servicios automotrices.
• Servicios legales y profesionales
• Defensa y orden público
• Entretenimiento, cultura y arte
• Servicios de salud, sociales y farmacia
• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

• Infraestructura tecnológica - Componentes
• Transportes y servicios automotrices.
• Servicios legales y profesionales
• Servicios empresariales y comercio

• Shipment y cadena de suministros

• Construcción e inmobiliaria
• Retail y servicios de consumo
• Banca y Finanzas
• Gobierno

• Educación
• Infraestructura tecnológica
• Defensa y orden público
• Entretenimiento, cultura y arte
• Servicios de salud, sociales y farmacia
• Agricultura, ganadería, silvicultura y pesca - producción
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
  • Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.