ENTEL Weekly Threat Intelligence Brief del 10 de abril al 16 de abril de 2023

• Cifradores de Lockbit Ransomware dirigidos a dispositivos Mac.
• National Cash Register golpeada por la banda de ransomware BlackCat/ALPHV
• Nuevo ransomware emergente “Read The Manual” Locker(RTM), con capacidad de autoeliminación para cubrir su rastro.
• Software Action1 abusado para la implantación de ransomware
• Grupo Ruso APT29, vinculado a los ataques de Países de la OTAN y Unión Europea.
• Grupo APT Iraní, rastreado como Mercury, vinculado a los ataques de entornos híbridos. 
• Remcos, Rat usado en empresas de preparación de declaraciones de impuestos y contabilidad de EE. UU
• Goldson  es llamado el nuevo malware que abusa de aplicaciones legítimas de la tienda oficial de google play.  
• QuaDream la firma de cibervigilancia que apunta a dispositivos iPhones para distribuir malware.  
• Patch Day SAP – Abril 2023
• Siemens publica nuevas vulnerabilidades que afectan a sus productos.
• Fortinet publica avisos de seguridad que afectan a sus productos. 
• Patch Tuesday Microsoft de abril corrige 97 vulnerabilidades. 
• Nuevo aviso de seguridad en Jenkins.
• Sophos publica avisos de seguridad de Web Appliance (SWA).
• Nuevos avisos de seguridad en productos Palo Alto Networks.
• Zero-Day de windows activamente explotado por Nokoyawa ransomware

Cifradores de Lockbit Ransomware dirigidos a dispositivos Mac

De acuerdo a la publicación observada del grupo MalwareHunterTeam, el día 16 de abril, descubrieron un compilado en formato zip de lo que parece ser la mayor cantidad de encriptadores LockBit disponibles. Los encriptadores incluyen un llamado 'locker_Apple_M1_64', que apunta a las Mac más nuevas, así como también un archivo que contiene casilleros para CPU PowerPC, que usan las Mac más antiguas. 

De acuerdo a lo anterior, en un análisis efectuado por BleepingComputer  de las cadenas encontradas para  Apple M1, mencionan que éstas aún no están listas para implementarse en ataques reales contra dispositivos macOS ya que se tratan de compilaciones de prueba que no corresponden con la arquitectura de los CPU de los dispositivos Mac, ya que la mayoría de las cadenas están fuera de lugar respecto a las compilaciones que puedan hacer en éstos dispositivos, ya que aún mantienen una base de código compartida originalmente diseñada para casi todas las cadenas de ESXi y Windows también están presentes en los cifrados MIP y FreeBSD. 

Si bien mencionan los investigadores que aún no están listas las cadenas para operaciones reales sobre estos dispositivos, hay que mantenerse alerta respecto a las nuevas versiones que de éstas puedan surgir para comprometer la seguridad de los dispositivos Mac. 

National Cash Register golpeada por la banda de ransomware BlackCat/ALPHV

NCR también conocida como National Cash Register, es una empresa estadounidense de software, consultoría y tecnología que ofrece varios servicios profesionales y productos electrónicos entre los que destacan: quioscos de autoservicio, terminales de punto de venta, cajeros automáticos, sistemas de procesamiento de cheques y lectores de códigos de barras. El pasado miércoles 12 de abril, su plataforma de punto de venta Aloha POS (un software de administración y punto de venta de restaurantes) fue comprometido por el grupo de ransomware BlackCat/ALPHV. Se desconocen detalles del compromiso puesto que no han sido publicadas las tácticas técnicas y procedimientos (TTP´s) usadas por los ciberactores para obtener el acceso inicial a ésta empresa.
 

Nuevo ransomware emergente “Read The Manual” Locker(RTM), con capacidad de autoeliminación para cubrir su rastro

De acuerdo a una investigación observada de Trellix, se trata de un ransomware como servicio (RaaS), que obliga a sus suscriptores a cumplir estrictas reglas que les permitirían evitar la fuga de muestras de su malware para mantenerse fuera del radar el mayor tiempo posible, incluso su panel de afiliados está seteado con la combinación de usuario, contraseña y captcha para evitar accesos por fuerza bruta departe de otros actores de amenaza e investigadores de seguridad, así mismo, una vez ejecutado tiene la propiedad de autoeliminarse para evitar ser rastreado por los investigadores de seguridad.  

Software Action1 abusado para la implantación de ransomware

Action1 correspponde a un software de gestión y supervisión remotas (RMM) que suelen utilizar los proveedores de servicios gestionados (MSP) y la empresa para gestionar de forma remota puntos finales en una red.

De acuerdo a una investigación observada, el producto se ha aprovechado en las etapas iniciales de al menos tres ataques recientes de ransomware que utilizan distintas cepas de malware, se desconoce la cepas específicas implementadas en los incidentes. Sin embargo, se menciona que las tácticas, técnicas y procedimientos (TTP´s), de acuerdo a una investigación de julio 2022, de BlackBerry, se atribuyen a un grupo llamado Monti que aprovechó la vulnerabilidad de Log4Shell. 

Grupo Ruso APT29, vinculado a los ataques de Países de la OTAN y Unión Europea

El grupo Ruso APT29 (también conocido como  grupo SVR ,  Cozy Bear ,  Nobelium y  The Dukes), ha estado vinculado a las recientes campañas de ciberespionaje dirigidas a los países de la unión europea, cuyo foco está centrado principalmente  en  entidades y sistemas diplomáticos que transmitían información confidencial sobre políticas que ayudaban a los ciudadanos ucranianos que huían del país y que brindaban ayuda al gobierno de Ucrania. La cadena de ataque de ésta campaña comienza con un correo electrónico de spear-phishing que contiene un documento armado con un enlace que conduce a la descarga de un archivo HTML. Los archivos HTLM están alojados en un sitio web de biblioteca en línea legítimo que probablemente se vio comprometido por los actores de amenazas en algún momento entre finales de enero de 2023 y principios de febrero de 2023, éste grupo también ha abusado de varios sistemas legítimos, incluidos LegisWrite y eTrustEx, que utilizan las naciones de la UE para intercambiar información y datos de forma segura.

Grupo APT Iraní, rastreado como Mercury, vinculado a los ataques de entornos híbridos. 

De acuerdo a lo observado en informe publicado por Microsoft el 7 de abril, el grupo APT Mercury ha sido vinculado a lo que ha sido una operación estándar de ransomware, encubierta para la afectación directa con acciones destructivas de los entornos locales y de la nube. De acuerdo a los investigadores, Mercury ha estado explotando vulnerabilidades conocidas en aplicaciones sin parches para el acceso inicial antes de entregar el acceso a DEV-1084 para realizar un amplio reconocimiento y descubrimiento, además de  establecer persistencia y moverse lateralmente a través de la red, a menudo esperando semanas y a veces, meses antes de avanzar a la siguiente etapa. Posteriormente, se observó que DEV-1084 aprovechaba credenciales comprometidas altamente privilegiadas para realizar una destrucción masiva de recursos, incluidas granjas de servidores, máquinas virtuales, cuentas de almacenamiento y redes virtuales, y enviar correos electrónicos a destinatarios internos y externos.

Remcos, Rat usado en empresas de preparación de declaraciones de impuestos y contabilidad de EE. UU.

De acuerdo a una investigación observada del 13 de abril, los actores de amenaza asociado a éste malware aprovechan la temporada de impuestos para activar campañas de malware.

Estas campañas parten con ingeniería social comúnmente en días de eventos de gran relevancia, en éste caso particular el día de los impuestos de EE. UU. Los objetivos de esta amenaza son exclusivamente organizaciones que se ocupan de la preparación de impuestos, servicios financieros, CPA y empresas de contabilidad, y empresas de servicios profesionales que se ocupan de la contabilidad y los impuestos.

Remcos, o también conocido como "Control remoto y vigilancia", es una herramienta de código cerrado que permite a los actores de amenazas obtener privilegios de administrador en los sistemas Windows de forma remota. Fue lanzado en 2016 por BreakingSecurity, una empresa europea que comercializa Remcos y otras herramientas de seguridad ofensivas como software legítimo. En 2021, CISA incluyó a Remcos entre sus principales cepas de malware, citando su uso en ataques masivos de phishing con temas de la pandemia de COVID-19 dirigidos a empresas e individuos.

Goldson  es llamado el nuevo malware que abusa de aplicaciones legítimas de la tienda oficial de google play.

De acuerdo a un informe observado del 12 de abril de la firma McAfee,  fue hallada una biblioteca que recopila una lista de aplicaciones instaladas y un historial de información de dispositivos Wi-Fi y Bluetooth , incluidas las ubicaciones de GPS cercanas. Además, la biblioteca está armada con la  funcionalidad para realizar fraude publicitario al hacer clic en anuncios en segundo plano sin el consentimiento del usuario.  De acuerdo a la investigación el mayor foco respecto a las descargas de  estas aplicaciones en la tienda ONE y Google Play corresponde a Corea del Sur.

Los usuarios con Android 11 o superior están más protegidos frente a las aplicaciones que intentan recopilar todas las aplicaciones instaladas. Sin embargo, incluso con la versión reciente de Android, mencionan en la investigación; que alrededor del 10% de las apps con Goldoson tienen el permiso "QUERY_ALL_PACKAGES" que les permite acceder a toda la información de la app. 

Del mismo modo, con Android 6.0 o superior, es posible que se soliciten permisos a los usuarios como Ubicación, Almacenamiento o Cámara en tiempo de ejecución. Si el usuario permite el permiso de localización, la aplicación puede acceder no sólo a los datos GPS, sino también a la información de los dispositivos Wi-Fi y Bluetooth cercanos. Basándose en BSSID (Basic Service Set Identifier) y RSSI (Received Signal Strength Indicator), la aplicación puede determinar la ubicación del dispositivo con más precisión que el GPS, especialmente en interiores.

QuaDream, la firma de cibervigilancia que apunta a dispositivos iPhones para distribuir malware.

De acuerdo a un informe del 11 de abril de la firma  Citizen Lab, los actores de amenaza están usando un exploit de cero click  para comprometer las versiones de iOS 14.4 y 14.4.2, y posiblemente en otras versiones. El presunto exploit, al que llamaron ENDOFDAYS , parece hacer uso de invitaciones de calendario invisibles de iCloud enviadas por el operador del spyware a las víctimas. Los investigadores detectaron que del ataque ENDOFDAYS se pueden detectar ejecutando la siguiente consulta en el archivo Calendar[.]sqlitedb de un teléfono.

SELECCIONE[ *] DESDE elemento del calendario DONDE resumen[=]"Reunión" Y descripción[=]"Notas";

Los eventos maliciosos del calendario tienen características distintivas adicionales que parecen ser siempre las mismas. El archivo [.]ics contiene invitaciones a dos eventos superpuestos que son retroactivos. En iOS 14, cualquier invitación de calendario de iCloud con una fecha anterior recibida por el teléfono se procesa automáticamente y se agrega al calendario del usuario sin aviso ni notificación de cara al usuario. 

No estamos seguros de por qué los eventos se superponen, aunque puede haber 

Patch Day SAP – Abril 2023

En el martes de parches SAP de abril 2023, se publicaron 19 nuevos avisos de seguridad para los productos SAP, de los cuales: 2 son de Severidad Hot News, 1 es de Severidad Alta, 13 de Severidad Media y 3 de Severidad Baja .

Esta publicación contempla 20 vulnerabilidades nuevas.

Siemens publica nuevas vulnerabilidades que afectan a sus productos

Siemens ha publicado 14 nuevos avisos de seguridad que contemplan 26 vulnerabilidades, las cuales se clasifican en 4 de severidad Crítica, 15 de severidad Alta y 7 de severidad Media.

Estas vulnerabilidades afectan a  productos como:

• Mendix Forgot Password 
• SCALANCE
• SIMATIC 
• SIPLUS
• SIPROTEC
• Teamcenter Visualization
• TIA Portal
• TIM 1531 IR

Fortinet publica avisos de seguridad que afectan a sus productos  

Fortinet ha publicado 21 nuevos avisos de seguridad que contemplan 21 vulnerabilidades, las cuales se clasifican en 1 de severidad Crítica, 9 de severidad Alta, 10 de severidad Media y 1 de severidad Baja.

Estas vulnerabilidades afectan a  productos como:

• FortiClient (Mac y Windows)
• FortiOS
• FortiProxy
• Entre otros

Patch Tuesday Microsoft de abril corrige 97 vulnerabilidades

En su actualización programada para el martes de parches de abril 2023, Microsoft informó 97 correcciones de seguridad. Del total de vulnerabilidades, 7 son catalogadas como críticas y corresponden a ejecución de código remoto (RCE) y 90 clasificadas como importantes.

• Adicionalmente, existen 17 vulnerabilidades asociadas a Chromium que no se consideran en el detalle anterior.
• Las vulnerabilidades se pueden clasificar de la siguiente forma:
• 45 Vulnerabilidades de ejecución de código remoto (RCE)
• 20 Vulnerabilidades de elevación de privilegios
• 10 Vulnerabilidades de divulgación de información
• 9 Vulnerabilidades de denegación de servicios (DoS)
• 7 Vulnerabilidades de Security Feature Bypass
• 6 Vulnerabilidades de Spoofing

Nuevo aviso de seguridad en Jenkins

El servidor open source Jenkins, publicó un aviso de seguridad que contiene 19 vulnerabilidades que se clasifican en 1 de severidad alta, 16 de severidad media, y  2 de severidad baja, afectando a complementos como:

• Quay.io trigger
• Kubernetes
• Lucene-Search
• Azure Key Vault
• Entre otros

Sophos publica avisos de seguridad de Web Appliance (SWA)

Sophos ha publicado 1 aviso de seguridad que contiene 3 vulnerabilidades, de las cuales 1 es de severidad Crítica, 1 es de severidad Alta y 1 de severidad Media.

• Estas vulnerabilidades afectan a las versiones anteriores a la 4.3.10.4 de Sophos Web Appliance (SWA).

Nuevos avisos de seguridad en productos Palo Alto Networks

Palo Alto ha publicado 3 nuevos avisos de seguridad que contemplan 3 vulnerabilidades de severidad media que  afectan a productos como:

• PAN-OS
• GlobalProtect App

Zero-Day de windows activamente explotado por Nokoyawa ransomware

Recientemente se ha dado a conocer una nueva vulnerabilidad de día cero de criticidad alta (CVE-2023-28252[CVSS: 7.8]) que afecta a todas las versiones de cliente y de servidor de Windows que ha sido activamente explotada por el grupo de ransomware NOKOYAWA, pero que recientemente se ha liberado el respectivo parche mitigatorio mediante el Patch Thuesday de microsoft.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 17 al 24 de abril de 2023

Objetivos observados durante semana de análisis: 

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

• Servicios empresariales y comercio

• Infraestructura tecnológica - Componentes

• Construcción e inmobiliaria
• Servicios legales y profesionales
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Transportes y servicios automotrices

• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Defensa y orden público
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
• Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.