El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
Anuncios de Google impulsan el malware BumbleBee utilizado por grupos de ransomware
El malware Bumblebee dirigido a empresas se distribuye a través de Google Ads y el envenenamiento de SEO que promueve software popular como Zoom, Cisco AnyConnect, ChatGPT y Citrix Workspace.
Bumblebee es un cargador de malware descubierto en abril de 2022, que se cree que fue desarrollado por el equipo de Conti como reemplazo de la puerta trasera BazarLoader, utilizada para obtener acceso inicial a las redes y realizar ataques de ransomware. En septiembre de 2022, se observó una nueva versión del cargador de malware, que presentaba una cadena de ataque más sigilosa que usaba el marco PowerSploit para la inyección reflexiva de DLL en la memoria.
Los investigadores de Secureworks descubrieron recientemente una nueva campaña que utiliza anuncios de Google que promueven versiones troyanizadas de aplicaciones populares para entregar el cargador de malware a víctimas desprevenidas. Una de las campañas vistas por los investigadores comenzó con un anuncio de Google que promocionaba una página de descarga falsa de Cisco AnyConnect Secure Mobility Client creada el 16 de febrero de 2023 y alojada en un dominio "appcisco[.]com".
El grupo de Ransomware Medusa se jacta de difundir el código fuente de Bing y Cortana
La pandilla de Ransomware Medusa ha puesto en línea lo que afirma es una fuga masiva de materiales internos de Microsoft, incluido el código fuente de Bing y Cortana.
"Esta filtración es de mayor interés para los programadores, ya que contiene los códigos fuente de los siguientes productos de Bing, Bing Maps y Cortana", “Hay muchas firmas digitales de productos de Microsoft en la filtración. Muchos de ellos no han sido retirados”, escribió el equipo de Medusa.
Cabe destacar que en marzo de 2022 Lapsus$ afirmó que irrumpió en el entorno DevOps interno de Microsoft y robó, luego filtró, alrededor de 37 GB de información, incluido lo que los extorsionadores afirmaron que era el código fuente interno de Bing y Cortana, y los proyectos de ingeniería de cumplimiento de WebXT.
Dado lo anterior no está claro si los archivos son legítimos o son archivos ya filtrados por Lapsus$, Microsoft no respondió a las consultas sobre este suceso.
Vice Society Ransomware usando la herramienta Stealthy PowerShell para la filtración de datos
Se ha observado que los actores de amenazas asociados con la pandilla de ransomware Vice Society utilizan una herramienta basada en PowerShell a medida para pasar desapercibidos y automatizar el proceso de filtración de datos de redes comprometidas.
"Los actores de amenazas (TA) que utilizan métodos de exfiltración de datos incorporados como [living off the land binarios y scripts] niegan la necesidad de incorporar herramientas externas que podrían ser detectadas por software de seguridad y/o mecanismos de detección de seguridad basados en humanos", dicen investigadores de la Unidad 42 de palo alto.
El script de PowerShell descubierto por los investigadores (w1[.]ps1) funciona al identificar las unidades montadas en el sistema y luego busca recursivamente en cada uno de los directorios raíz para facilitar la filtración de datos a través de HTTP.
La herramienta también utiliza criterios de exclusión para filtrar archivos del sistema, copias de seguridad y carpetas que apuntan a navegadores web, así como soluciones de seguridad de Symantec, ESET y Sophos.
El grupo de Ransomware Play fortalece sus capacidades con nuevas herramientas
El grupo de Ransomware conocido como PLAY está utilizando herramientas personalizadas que le permiten ser más rápido y eficiente al realizar ataques de ransomware. Los Investigadores de Symantec denominó a las herramientas "Grixba", un ladrón de información que enumera el software y los servicios en un sistema objetivo, y la Herramienta de copia VSS, que permite a un atacante copiar los archivos del “Volume Shadow Copy Service” (VSS) de un sistema , que normalmente están bloqueados por el sistema operativo antes del cifrado.
Estas herramientas son solo los últimos ejemplos de los grupos de ransomware que desarrollan programas personalizados. Es probable que esto se deba a una serie de razones, como hacer que los ataques sean más eficientes y reducir el tiempo de permanencia en los sistemas de las víctimas.
Las herramientas personalizadas también permiten un mayor control sobre las operaciones y una menor probabilidad de que las herramientas particulares de un grupo sean investigadas por ingeniería inversa o adaptadas por otros grupos de ransomware.
Para mayores antecedentes de este actor de amenazas dirigirse al siguiente boletín:
El grupo APT41 vinculado a China utilizó la herramienta de red team de código abierto GC2 en un ataque contra una organización de medios Taiwanesa.
El equipo de Google Threat Analysis Group (TAG) informó que el grupo APT41 vinculado a China usó la herramienta de código abierto Red Teaming Google Command and Control ( GC2 ) en un ataque contra una organización de medios taiwanesa no identificada.
El grupo APT41, también conocido como Winnti , Axiom, Bario , Blackfly, HOODOO es un grupo de ciberespionaje vinculado a China que ha estado activo desde al menos 2007. El ataque tuvo lugar en octubre de 2022, los actores de amenazas enviaron correos electrónicos de phishing que contenían enlaces a un archivo protegido con contraseña alojado en Drive. El payload final fue la herramienta GC2 escrita por Go que obtiene comandos de Hojas de cálculo de Google y extrae datos a Google Drive.
Al instalar el malware en el sistema de destino, consulta Hojas de cálculo de Google para obtener los comandos del atacante. GC2 también permite a los operadores descargar archivos adicionales de Drive al sistema de la víctima.
Los expertos de Google TAG señalaron que el grupo chino utilizó previamente GC2 en julio de 2022 en un ataque dirigido a un sitio web italiano de búsqueda de empleo.
Estos incidentes destacaron algunas tendencias clave de amenazas por parte de actores de amenazas afiliados a China, como por ejemplo en lugar de desarrollar sus propias herramientas personalizadas, los grupos APT chinos utilizan cada vez más herramientas disponibles públicamente, como Cobalt Strike y otro software de "pentest" disponible para comprar o en sitios como Github.
FIN7 y Ex-Conti Cybercrime Gangs unen fuerzas en ataques de “Domino” Malware
Los miembros del ahora desaparecido grupo de ransomware Conti han puesto en práctica una nueva variedad de malware desarrollada por actores de amenazas probablemente afiliados al grupo de ciberdelincuencia FIN7, lo que indica la colaboración entre los dos equipos.
El malware, denominado Domino , está diseñado principalmente para facilitar la explotación de seguimiento en sistemas comprometidos, incluida la entrega de un ladrón de información menos conocido que se ha anunciado para la venta en la dark web desde diciembre de 2021.
Los ex miembros del grupo TrickBot/Conti han estado usando “Domino desde al menos finales de febrero de 2023 para entregar el ladrón de información Project Nemesis o puertas traseras más capaces como Cobalt Strike", dicen los investigadores de seguridad de IBM.
Las conexiones potenciales de Domino con FIN7 provienen de la superposición del código fuente con DICELOADER (también conocido como Lizar o Tirion), una familia de malware probada en el tiempo atribuida al grupo. El malware, por su parte, está diseñado para recopilar información confidencial básica y recuperar cargas útiles cifradas desde un servidor remoto.
Vixen Panda APT Group sospechoso de apuntar a entidades gubernamentales en un ciberataque
Se sospecha que un grupo de ciberactores informáticos chinos, Vixen Panda, atacó al Ministerio de Relaciones Exteriores de Eslovenia en un ataque cibernético reciente. Según un nuevo informe de Euractiv, los ciberactores mostraron un gran interés en los documentos de políticas.
Los ciberactores atacaron dos servidores que se comunicaban con servidores de ministerios de relaciones exteriores en varios países europeos. La semana del 10 de abril de 2023, un portavoz del ministerio dijo que el ataque a los ministerios de relaciones exteriores en varios países se originó en un tercer país.
Si bien no se ha podido confirmar la supuesta participación china, la investigación sobre el ataque aún está en curso. Aunque el sistema de TI del Ministerio se cerró inmediatamente después del ataque, todavía se está limpiando de la amenaza.
APT28 utiliza una vulnerabilidad en los enrutadores de Cisco para implementar malware
El NCSC-UK, la NSA, la CISA y el FBI publicaron un aviso conjunto que describe cómo el grupo de piratas informáticos ruso APT28 explotó los enrutadores Cisco en 2021. APT28 ha estado explotando enrutadores Cisco mal mantenidos e implementando malware personalizado en dispositivos sin parches.
APT28 empleó infraestructura para suplantar el acceso del Protocolo simple de administración de red (SNMP) en enrutadores Cisco en todo el mundo en 2021. Esta campaña afectó a algunos enrutadores ubicados en instituciones gubernamentales de Europa y EE. UU., así como a aproximadamente 250 personas.
Estos aprovecharon el error CVE-2017-6742 para implementar un malware personalizado conocido como Jaguar Tooth. Después de la instalación, el malware procede a extraer información del enrutador y otorga acceso de puerta trasera no autorizado al dispositivo.
Este malware no persistente permite a los atacantes obtener acceso a cuentas locales sin necesidad de autenticación cuando se conectan a través de Telnet o una sesión física. Además, Jaguar Tooth genera un nuevo proceso conocido como 'Bloqueo de política de servicio' que recopila la salida de comandos específicos de la interfaz de línea de comandos (CLI) y la transfiere mediante el protocolo trivial de transferencia de archivos (TFTP).
Expertos interrumpieron temporalmente las operaciones de RedLine Stealer
A principios de este año, Microsoft comenzó a implementar actualizaciones para bloquear automáticamente las macros en los documentos descargados de Word y Excel. Varias amenazas maliciosas, incluidas QakBot , Formbook y varios otros programas maliciosos, han comenzado a abusar de los documentos de OneNote.
RedLine es un malware de robo de información escrito en .NET que está activo desde al menos principios de 2020. El malware puede robar información confidencial de los sistemas infectados, incluidas las credenciales, las cookies, el historial del navegador, los datos de la tarjeta de crédito y las billeteras criptográficas. El ladrón de información se considera un malware básico que está disponible a través del modelo de malware como servicio.
Al analizar muestras de RedLine Stealer, los investigadores de ESET identificaron los siguientes repositorios:
ESET compartió sus hallazgos con GitHub, que inmediatamente suspendió los repositorios. Los expertos no observaron canales alternativos, lo que significa que la eliminación de estos depósitos inutilizó los paneles de control. Los operadores detrás de RedLine se verán obligados a configurar nuevos paneles para recuperar sus operaciones.
El troyano bancario Qbot se entrega cada vez más a través de correos electrónicos comerciales
Se ha observado una campaña maliciosa de correo electrónico no deseado que propaga cada vez más troyanos bancarios de la familia QBot (o Qakbot) mediante correos electrónicos comerciales falsos.
Descubierta por investigadores de seguridad de Kaspersky , la campaña maliciosa se basó en mensajes escritos en diferentes idiomas, incluidos inglés, alemán, italiano y francés. Los correos se basaron en cartas comerciales reales a las que los atacantes habían tenido acceso, lo que les brindó la oportunidad de unirse al hilo de correspondencia con sus propios mensajes
Para mayor autenticidad, los atacantes pusieron el nombre del remitente de las letras anteriores en el campo 'De'; sin embargo, la dirección de correo electrónico fraudulenta del remitente será diferente a la del contacto real.
Al hacer clic en el archivo adjunto, los correos electrónicos descargan un archivo adjunto desde un servidor remoto, protegido con una contraseña proporcionada en el archivo PDF original. El archivo descargado, a su vez, incluye un archivo WSF (Windows Script File) que contiene un script ofuscado escrito en JScript.
Algunas variantes pueden descargar herramientas de malware adicionales, como CobaltStrike (para propagar la infección por la red corporativa) o ransomware. Kaspersky también ha observado que algunas versiones de Qbot convierten las computadoras de las víctimas en servidores proxy para facilitar la redirección del tráfico.
El nuevo ataque de phishing protegido por captcha
Se ha descubierto un nuevo ataque de phishing que se dirige específicamente a las personas que necesitan acceder a los archivos de nómina a través de Microsoft Teams.
El ataque de phishing está alojado en una página de destino en payroll-microsoft365-access-panel-2023[.]softr[.]app/ que redirige a azaleestays[.]com/devr365web2023/ una vez que se hace clic en algún botón.
El sitio de phishing primero verifica si el visitante es un ser humano. Para bloquear los escaneos de seguridad de identificación del sitio de phishing. Luego el sitio de inicio parece una página de inicio de sesión legítima de Microsoft Teams y solicita a los usuarios que ingresen sus credenciales de inicio de sesión para obtener acceso a sus archivos de nómina. Sin embargo, el sitio de phishing está diseñado para robar las credenciales de inicio de sesión de los usuarios y comprometer cuentas.
El nuevo malware Chameleon para Android imita las aplicaciones bancarias, gubernamentales y criptográficas
Un nuevo troyano de Android llamado 'Chameleon' ha estado apuntando a usuarios en Australia y Polonia desde principios de año, imitando el intercambio de criptomonedas CoinSpot, una agencia del gobierno australiano y el Banco IKO.
El malware móvil fue descubierto por la firma de seguridad cibernética Cyble , que informa haber visto distribución a través de sitios web comprometidos, archivos adjuntos de Discord y servicios de alojamiento de Bitbucket.
Chameleon incluye una amplia gama de funciones maliciosas, incluido el robo de credenciales de usuario a través de inyecciones superpuestas y registro de teclas, cookies y mensajes de texto SMS del dispositivo infectado.
Al iniciarse, el malware realiza una variedad de controles para evadir la detección por parte del software de seguridad. Estas comprobaciones incluyen comprobaciones antiemulación para detectar si el dispositivo está rooteado y la depuración está activada, lo que aumenta la probabilidad de que la aplicación se esté ejecutando en el entorno de un analista.
Si el entorno parece limpio, la infección continúa y Chameleon solicita a la víctima que le permita usar el Servicio de Accesibilidad, del cual abusa para otorgar permisos adicionales, deshabilitar Google Play Protect y evitar que el usuario lo desinstale.
La mayoría de estos sistemas de robo de datos se basan en el abuso de los Servicios de accesibilidad para funcionar según sea necesario, lo que permite que el malware controle el contenido de la pantalla, controle eventos específicos, intervenga para modificar elementos de la interfaz o envíe ciertas llamadas a la API según sea necesario.
También se abusa del mismo servicio del sistema para evitar la desinstalación del malware, identificando cuándo la víctima intenta eliminar la aplicación maliciosa y eliminando sus variables de preferencias compartidas para que parezca que ya no está presente en el dispositivo. Chameleon es una amenaza emergente que puede agregar más funciones y capacidades en futuras versiones.
Oracle critical Patch Update de abril 2023 corrige 433 vulnerabilidades
En el trimestre de Parches de Abril 2023, Oracle ha publicado nuevos avisos de seguridad que contemplan 433 parches críticos, de los cuales 52 son de severidad Alta y 381 de severidad Baja. Dichas vulnerabilidades afectan a productos de base de datos de Oracle divididos de la siguiente manera:
No hay nuevos parches de seguridad para Oracle Big Data Spatial and Graph, pero se proporcionan parches de terceros. No hay nuevos parches de seguridad para Oracle TimesTen In-Memory Database, pero se proporcionan parches de terceros
Cisco publica múltiples vulnerabilidades para sus productos
Cisco ha publicado 6 nuevos avisos de seguridad que contemplan 12 vulnerabilidades, las cuales se clasifican en 3 de severidad Crítica, 2 de severidad Alta y 7 de severidad Media, afectando a productos como:
Para más información sobre la vulnerabilidad visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1569/
Vulnerabilidades que afectan a productos F5
F5 ha publicado 2 nuevos avisos de seguridad que contemplan 2 vulnerabilidades, las cuales se clasifican en 1 de severidad Alta y 1 de severidad Media.
Estas vulnerabilidades afectan a los siguientes productos:
Para más información sobre la vulnerabilidad visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1563/
Nuevos avisos de seguridad publicados por F5
F5 ha publicado 2 nuevos avisos de seguridad que contemplan 2 vulnerabilidades, las cuales se clasifican en 1 de severidad Alta y 1 de severidad Media.
Estas vulnerabilidades afectan a los siguientes productos:
Para más información sobre la vulnerabilidad visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1567/
VMware publica vulnerabilidades de Aria Operations for Logs
VMware ha publicado 1 nuevo aviso de seguridad que contempla 2 vulnerabilidades, 1 de severidad Crítica y 1 de severidad Alta. Esta falla afecta a VMware Aria Operations for Logs (anteriormente vRealize Log Insight).
Tanzu VMware publica avisos de seguridad que afectan a sus productos
Tanzu ha publicado 10 nuevos avisos de seguridad que contemplan 27 vulnerabilidades, las cuales son todas de severidad Media afectando a productos como:
Para más información visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1564/
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 24 de abril al 01 de mayo de 2023:
Objetivos observados durante semana de análisis:
El Centro de Ciberinteligencia de Entel Ciber Secure recomienda lo siguiente: