El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
Yellow Pages Canadá confirma ciberataque mientras Black Basta filtra datos
Yellow Pages Group, un editor de directorios Canadiense, confirmó que ha sido afectado por un ciberataque. Dicho ataque se adjudica a Black Basta ransomware y banda de extorsión, quienes han publicado documentos y datos confidenciales durante el fin de semana.
Los servicios de directorio como las Páginas Amarillas recopilan y proporcionan en gran cantidad de datos públicos, lo que no implica que no posean datos corporativos privados o personales. Estos últimos de gran interés para grupos de ransomware como Black Basta.
BleepingComputer analizó la publicación en línea de Black Basta y puede confirmar que el grupo de ransomware ha filtrado una muestra de documentos confidenciales que exponen información personal. Estos incluyen:
Microsoft: el ransomware Clop y LockBit detrás de los ataques al servidor PaperCut
En marzo, se corrigieron dos vulnerabilidades en el servidor de aplicaciones PaperCut que permite a los atacantes remotos realizar la ejecución remota de código y la divulgación de información sin autenticar (CVE-2023–27350/ZDI-CAN-18987/PO-1216 y CVE-2023–27351 / ZDI-CAN-19226 / PO-1219).
El 19 de abril, PaperCut reveló que estas fallas se explotaron activamente, instando a los administradores a actualizar sus servidores a la última versión. Unos días después se lanzó un exploit PoC para la falla RCE , lo que permitió a otros actores de amenazas violar los servidores usando estos exploits.
Microsoft ha atribuido los ataques recientes a los servidores PaperCut a las operaciones de ransomware Clop y LockBit, que utilizaron las vulnerabilidades para robar datos corporativos. Junto a ello informan que el actor de amenazas ha estado explotando las vulnerabilidades de PaperCut desde el 13 de abril.
Una vez que obtuvieron acceso al servidor, implementaron el malware TrueBot, que también se vinculó previamente a la operación de ransomware Clop . En última instancia, Microsoft dice que se implementó Cobalt Strike y se usó para propagarse lateralmente a través de la red mientras robaba datos usando la aplicación para compartir archivos MegaSync.
Actores de ransomware utilizan la herramienta AuKill para deshabilitar el software EDR mediante el ataque BYOVD
Los actores de amenazas están empleando una "herramienta de evasión de defensa" previamente no documentada denominada AuKill que está diseñada para deshabilitar el software de detección y respuesta de punto final (EDR) por medio de un ataque Bring Your Own Vulnerable Driver ( BYOVD ).
"La herramienta AuKill abusa de una versión obsoleta del controlador utilizado por la versión 16.32 de la utilidad Process Explorer de Microsoft, para deshabilitar los procesos EDR antes de implementar una puerta trasera o un ransomware en el sistema de destino.
BlueNoroff APT vinculado a Corea del Norte está detrás del nuevo RustBucket Mac Malware
El malware RustBucket permite a los operadores descargar y ejecutar varias cargas útiles. La atribución a BlueNoroff APT se debe a las similitudes en los hallazgos que surgieron de un análisis publicado en diciembre del 2022. Las similitudes incluyen herramientas maliciosas en MacOS que se alinean estrechamente con los TTP de los empleados en la campaña.
El malware de primera etapa estaba contenido dentro de una aplicación sin firmar llamada Internal PDF Viewer[.]app. Los expertos creen que la aplicación solo se puede ejecutar anulando manualmente la medida de seguridad Gatekeeper.
La APT Iraní Charming Kitten usó un nuevo malware “BellaCiao” en la reciente ola de ataques
El grupo Charming Kitten vinculado a Irán (AKA APT35, Phosphorus, Newscaster y Ajax Security Team) llegó a los titulares en 2014 cuando investigadores de seguridad emitieron un informe que describía la campaña de espionaje elaborada y organizada por piratas informáticos Iraníes que utilizaban las redes sociales.
Microsoft ha estado rastreando a los actores de amenazas al menos desde 2013, pero los expertos creen que el grupo de ciberespionaje ha estado activo desde al menos 2011 apuntando a periodistas y activistas en el Medio Oriente, así como a organizaciones en los Estados Unidos y entidades en el Reino Unido. Israel, Irak y Arabia Saudita.
Recientemente se descubrió una nueva campaña dirigida a usuarios de EE.UU., Europa, Oriente Medio e India. The Charming Kitten usó un nuevo malware personalizado, denominado BellaCiao, que se adapta a objetivos individuales y es muy sofisticado.
Las muestras recolectadas incluían rutas [.]pdb. PDB (Program DataBase) es un formato de archivo utilizado por Microsoft Visual Studio para almacenar información de depuración sobre un archivo ejecutable o DLL.
BellaCiao actúa como un dropper personalizado y se utiliza para entregar otras cargas útiles maliciosas en la máquina de una víctima. Los expertos aún tienen que determinar el vector de infección inicial, pero creen que los atacantes utilizaron una cadena de explotación de Microsoft Exchange (como ProxyShell , ProxyNotShell , OWASSRF ) o una vulnerabilidad de software similar.
Google interrumpe la operación de malware de robo de información CryptBot
Google está eliminando la infraestructura de malware vinculada al infostealer Cryptbot después de demandar a quienes lo usan para infectar a los usuarios de Google Chrome y robar sus datos.
La demanda se dirige a la infraestructura y la red de distribución de Cryptbot, cuya interrupción ayudaría a disminuir la cantidad de víctimas a las que les roban su información confidencial mediante el malware.
Para impedir la propagación de CryptBot, el tribunal otorgó a Google una orden de restricción temporal que le permite a la empresa interrumpir a los distribuidores y su infraestructura. El tribunal faculta a Google para eliminar los dominios asociados con la distribución de CryptBot, lo que ayuda a frenar la cantidad de nuevas infecciones y desacelera el crecimiento de la red de malware.
Hackers Chinos utilizan nuevas variantes de malware de Linux para el espionaje
PingPull es un RAT (troyano de acceso remoto) vinculado a ataques de espionaje realizados por el grupo patrocinado por el estado Chino Gallium, también conocido como Alloy Taurus. Los ataques se dirigieron a organizaciones gubernamentales y financieras en Australia, Rusia, Bélgica, Malasia, Vietnam y Filipinas.
Los investigadores continuaron monitoreando estas campañas de espionaje e informaron recientemente que el actor de amenazas Chino usa nuevas variantes de malware contra objetivos en Sudáfrica y Nepal.
La variante de Linux de PingPull es un archivo ELF que actualmente es detectado solo por 3 de 62 proveedores de antivirus lo catalogan como malicioso. Se pudo determinar que posee trazas de código similares utilizadas contra sistemas de Windows, al notar similitudes en la estructura de comunicación HTTP, los parámetros POST, la clave AES y los comandos que recibe del servidor C2 del actor de amenazas.
Los comandos que el C2 envía al malware se indican con un solo carácter en mayúscula en el parámetro HTTP, y la carga devuelve los resultados al servidor a través de una solicitud codificada en base64.
El nuevo infostealer Atomic MacOS apunta a 50 billeteras criptográficas
Un nuevo malware de robo de información de macOS llamado 'Atomic' (AKA 'AMOS') se vende a los ciberdelincuentes a través de canales privados de Telegram por una suscripción de $ 1,000 USD por mes.
Por este precio, los compradores obtienen un archivo DMG que contiene un malware basado en Go de 64 bits diseñado para apuntar a los sistemas MacOS y robar contraseñas de llaveros, archivos del sistema de archivos local, contraseñas, cookies y tarjetas de crédito almacenadas en los navegadores.
Además, obtienen un panel web que posee una fácil gestión de víctimas, un atacante de fuerza bruta MetaMask, un verificador de criptomonedas, un instalador dmg y la capacidad de recibir registros robados en Telegram.
CISA advierte sobre errores críticos en los sistemas de secuenciación de ADN de Illumina
Illumina es una empresa de tecnología médica con sede en California que desarrolla y fabrica máquinas avanzadas de bioanálisis y secuenciación de ADN. Los dispositivos de la compañía son uno de los más utilizados para la secuenciación de ADN en entornos clínicos, organizaciones de investigación, instituciones académicas, empresas de biotecnología y compañías farmacéuticas en 140 países.
La CISA de EE.UU. y la FDA han emitido una alerta urgente sobre dos vulnerabilidades que afectan al Servicio de copia universal (UCS) de Illumina. "Un actor malicioso no autenticado podría cargar y ejecutar código de forma remota a nivel del sistema operativo, lo que podría permitir que un atacante cambie la configuración, el software o acceda a datos confidenciales en el producto afectado", advierte un aviso de CISA.
La primera vulnerabilidad se rastrea como CVE-2023-1968 (CVSS v3: 10.0). Permite a los atacantes remotos vincularse a direcciones IP expuestas, lo que facilita que un atacante no autenticado escuche todo el tráfico de la red para encontrar más hosts vulnerables en una red.
La segunda falla es CVE-2023-1966 (CVSS v3: 7.4), que es una mala configuración de seguridad que permite a los usuarios de UCS ejecutar comandos con privilegios elevados.
F5 publica nuevo aviso de seguridad
F5 ha publicado un nuevo aviso de seguridad que contempla 1 vulnerabilidad clasificada como de severidad Alta. Esta vulnerabilidad afecta los siguientes productos: BIG-IP y F5OS-C.
El control de acceso inadecuado en el firmware del BIOS para algunos procesadores Intel(R) puede permitir que un usuario privilegiado habilite potencialmente la escalada de privilegios a través del acceso local.
Este problema de hardware afecta a todos los productos de hardware que utilizan el procesador Intel Xeon D serie 1500.
Todas las versiones de BIG-IP Virtual Edition (VE) se ven potencialmente afectadas si el procesador subyacente a la instalación de BIG-IP VE se ve afectado. Las actualizaciones de microcódigo de Intel están disponibles para abordar este problema, pero deben aplicarse a nivel de hardware, lo que está fuera del alcance de la capacidad de F5 para brindar soporte o aplicar parches.
Vulnerabilidades de VMware en productos Workstation y Fusion
VMware ha publicado 1 nuevo aviso de seguridad que contempla 4 vulnerabilidades, 1 de severidad Crítica y 3 de severidad Alta. Estas vulnerabilidades afectan a los siguientes productos:
Cabe mencionar que estas vulnerabilidades fueron parte de una cadena de explotación demostrada por los investigadores de seguridad del equipo de STAR Labs hace un mes durante el segundo día del Pwn2Own Vancouver 2023. Los detalles técnicos de la explotación serán revelados por Zero Day Initiative de Trend Micro cuando pasen 90 días desde la revelación de estas en Pwn2Own.
Cisco publica nuevo aviso de seguridad que afecta a uno de sus productos
Cisco ha publicado 1 nuevo aviso de seguridad que contempla 1 vulnerabilidad, la cual se clasifica de severidad Media, afectando al producto Cisco Prime Collaboration Deployment.
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Prime Collaboration Deployment, podría permitir que un atacante remoto no autenticado realice un ataque de Cross-Site Scripting contra un usuario de la interfaz de administración.
Esta vulnerabilidad existe porque la interfaz de administración basada en web no valida correctamente la entrada proporcionada por el usuario. Un atacante podría explotar esta vulnerabilidad al persuadir a un usuario de la interfaz, para que haga clic en un enlace manipulado. Una explotación exitosa podría permitir que el atacante ejecute un código de secuencia de comandos arbitrario en el contexto de la interfaz afectada o acceda a información confidencial basada en el navegador.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 2 al 7 de mayo de 2023:
Objetivos observados durante semana de análisis:
DEFCON 1
DEFCON 2
DEFCON 3
DEFCON 4
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Tipo | Indicador |
---|---|
BlueNoroff APT | . |
Hash | 7c66d2d75be43d2c17e75d37c39... |
Hash | 7e2b38decf1f826fbb792d762d9... |
Hash | e74e8cdf887ae2de25590c55cb5... |
Hash | 7981ebf35b5eff8be2f3849c8f3... |
Hash | 38106b043ede31a66596299f172... |
Hash | bea33fb3205319868784c028418... |
Hash | 9525f5081a5a7ab7d35cf2fb2d7... |
Hash | 0d6964fe763c2e6404cde68af2c... |
Hash | ea5fac3201a09c3c5c3701723ea... |
Hash | b448381f244dc0072abd4f52e01... |
Hash | c56a97efd6d3470e14193ac9e19... |
Hash | 9ca914b1cfa8c0ba021b9e00bda... |
Hash | 3d41cd5199dbd6cefcc78d53bb4... |
Hash | 07d206664a8d397273e69ce37ef... |
Hash | 8e234482db790fa0a3d2bf5f708... |
Hash | 123543c7a5523a15a933e32477b... |
Charming Kitten | . |
IP | 88.80.148[.]162 |
dominio | .mail-updateservice[.]info |
dominio | .msn-service[.]co |
hash | cb67366adf39896cdc3ebe86e63... |
Cl0p | . |
Hash | 46cd508b7e77bb2c1d47f7fef00... |
Hash | 343cb2d5900f5fe4abd5442a4a1... |