ENTEL Weekly Threat Intelligence Brief del 24 de abril al 1 de mayo de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• BlueNoroff APT vinculado a Corea del Norte está detrás del nuevo RustBucket Mac Malware
• La APT Iraní Charming Kitten usó un nuevo malware “BellaCiao” en la reciente ola de ataques
• Google interrumpe la operación de malware de robo de información CryptBot
• Hackers Chinos utilizan nuevas variantes de malware de Linux para el espionaje
• El nuevo infostealer Atomic MacOS apunta a 50 billeteras criptográficas
• Yellow Pages Canadá confirma ciberataque mientras Black Basta filtra datos
• Microsoft: el ransomware Clop y LockBit detrás de los ataques al servidor PaperCut
• Actores de ransomware utilizan la herramienta AuKill para deshabilitar el software EDR mediante el ataque BYOVD
• CISA advierte sobre errores críticos en los sistemas de secuenciación de ADN de Illumina
• F5 publica nuevo aviso de seguridad
• Vulnerabilidades de VMware en productos Workstation y Fusion
• Cisco publica nuevo aviso de seguridad que afecta a uno de sus productos

Yellow Pages Canadá confirma ciberataque mientras Black Basta filtra datos

Yellow Pages Group, un editor de directorios Canadiense, confirmó que ha sido afectado por un ciberataque. Dicho ataque se adjudica a Black Basta ransomware y banda de extorsión, quienes han publicado documentos y datos confidenciales durante el fin de semana.

Los servicios de directorio como las Páginas Amarillas recopilan y proporcionan en gran cantidad de datos públicos, lo que no implica que no posean datos corporativos privados o personales. Estos últimos de gran interés para grupos de ransomware como Black Basta.

BleepingComputer analizó la publicación en línea de Black Basta y puede confirmar que el grupo de ransomware ha filtrado una muestra de documentos confidenciales que exponen información personal. Estos incluyen:

• Documentos de identificación (como escaneos de pasaportes y licencias de conducir) que exponen la fecha de nacimiento y la dirección de las personas
• Documentos fiscales: exposición del Número de seguro social (SIN)
• Acuerdos de compra y venta
• Hoja de cálculo 'Cuentas por cobrar' del 28 de febrero de 2023
• Previsión de presupuesto y deuda con fecha de diciembre de 2022

Microsoft: el ransomware Clop y LockBit detrás de los ataques al servidor PaperCut

En marzo, se corrigieron dos vulnerabilidades en el servidor de aplicaciones PaperCut que permite a los atacantes remotos realizar la ejecución remota de código y la divulgación de información sin autenticar (CVE-2023–27350/ZDI-CAN-18987/PO-1216 y CVE-2023–27351 /  ZDI-CAN-19226 / PO-1219).

El 19 de abril, PaperCut reveló que estas fallas se explotaron activamente, instando a los administradores a actualizar sus servidores a la última versión. Unos días después se lanzó un exploit PoC para la falla RCE , lo que permitió a otros actores de amenazas violar los servidores usando estos exploits.

Microsoft ha atribuido los ataques recientes a los servidores PaperCut a las operaciones de ransomware Clop y LockBit, que utilizaron las vulnerabilidades para robar datos corporativos. Junto a ello informan que el actor de amenazas ha estado explotando las vulnerabilidades de PaperCut desde el 13 de abril.

Una vez que obtuvieron acceso al servidor, implementaron el malware TrueBot, que también se  vinculó previamente a la operación de ransomware Clop . En última instancia, Microsoft dice que se implementó Cobalt Strike y se usó para propagarse lateralmente a través de la red mientras robaba datos usando la aplicación para compartir archivos MegaSync. 

Actores de ransomware utilizan la herramienta AuKill para deshabilitar el software EDR mediante el ataque BYOVD

Los actores de amenazas están empleando una "herramienta de evasión de defensa" previamente no documentada denominada AuKill que está diseñada para deshabilitar el software de detección y respuesta de punto final (EDR) por medio de un ataque Bring Your Own Vulnerable Driver ( BYOVD ).

"La herramienta AuKill abusa de una versión obsoleta del controlador utilizado por la versión 16.32 de la utilidad Process Explorer de Microsoft, para deshabilitar los procesos EDR antes de implementar una puerta trasera o un ransomware en el sistema de destino.

BlueNoroff APT vinculado a Corea del Norte está detrás del nuevo RustBucket Mac Malware

El malware RustBucket permite a los operadores descargar y ejecutar varias cargas útiles. La atribución a BlueNoroff APT se debe a las similitudes en los hallazgos que surgieron de un análisis publicado en diciembre del 2022. Las similitudes incluyen herramientas maliciosas en MacOS que se alinean estrechamente con los TTP de los empleados en la campaña.

El malware de primera etapa estaba contenido dentro de una aplicación sin firmar llamada Internal PDF Viewer[.]app. Los expertos creen que la aplicación solo se puede ejecutar anulando manualmente la medida de seguridad Gatekeeper.

La APT Iraní Charming Kitten usó un nuevo malware “BellaCiao” en la reciente ola de ataques

El grupo Charming Kitten vinculado a Irán (AKA  APT35,  Phosphorus,  Newscaster y  Ajax Security  Team) llegó a los titulares en 2014 cuando investigadores de seguridad emitieron un  informe  que describía la campaña de espionaje elaborada y organizada por piratas informáticos Iraníes que utilizaban las redes sociales.

Microsoft ha estado rastreando a los actores de amenazas al menos desde 2013, pero los expertos creen que el grupo de ciberespionaje ha estado activo desde al menos 2011 apuntando a periodistas y activistas en el Medio Oriente, así como a organizaciones en los Estados Unidos y entidades en el Reino Unido. Israel, Irak y Arabia Saudita.

Recientemente se descubrió una nueva campaña dirigida a usuarios de EE.UU., Europa, Oriente Medio e India. The Charming Kitten usó un nuevo malware personalizado, denominado BellaCiao, que se adapta a objetivos individuales y es muy sofisticado.

Las muestras recolectadas incluían rutas [.]pdb. PDB (Program DataBase) es un formato de archivo utilizado por Microsoft Visual Studio para almacenar información de depuración sobre un archivo ejecutable o DLL. 

BellaCiao actúa como un dropper personalizado y se utiliza para entregar otras cargas útiles maliciosas en la máquina de una víctima. Los expertos aún tienen que determinar el vector de infección inicial, pero creen que los atacantes utilizaron una cadena de explotación de Microsoft Exchange (como  ProxyShell , ProxyNotShell , OWASSRF ) o una vulnerabilidad de software similar.

Google interrumpe la operación de malware de robo de información CryptBot

Google está eliminando la infraestructura de malware vinculada al infostealer Cryptbot después de demandar a quienes lo usan para infectar a los usuarios de Google Chrome y robar sus datos.

La demanda se dirige a la infraestructura y la red de distribución de Cryptbot, cuya interrupción ayudaría a disminuir la cantidad de víctimas a las que les roban su información confidencial mediante el malware.

Para impedir la propagación de CryptBot, el tribunal otorgó a Google una orden de restricción temporal que le permite a la empresa interrumpir a los distribuidores y su infraestructura. El tribunal faculta a Google para eliminar los dominios asociados con la distribución de CryptBot, lo que ayuda a frenar la cantidad de nuevas infecciones y desacelera el crecimiento de la red de malware.

Hackers Chinos utilizan nuevas variantes de malware de Linux para el espionaje

PingPull es un RAT (troyano de acceso remoto) vinculado a ataques de espionaje realizados por el grupo patrocinado por el estado Chino Gallium, también conocido como Alloy Taurus. Los ataques se dirigieron a organizaciones gubernamentales y financieras en Australia, Rusia, Bélgica, Malasia, Vietnam y Filipinas.

Los investigadores continuaron monitoreando estas campañas de espionaje  e informaron recientemente que el actor de amenazas Chino usa nuevas variantes de malware contra objetivos en Sudáfrica y Nepal.

La variante de Linux de PingPull es un archivo ELF que actualmente es detectado solo por 3 de 62 proveedores de antivirus lo catalogan como malicioso. Se pudo determinar que posee trazas de código similares utilizadas contra sistemas de Windows, al notar similitudes en la estructura de comunicación HTTP, los parámetros POST, la clave AES y los comandos que recibe del servidor C2 del actor de amenazas.

Los comandos que el C2 envía al malware se indican con un solo carácter en mayúscula en el parámetro HTTP, y la carga devuelve los resultados al servidor a través de una solicitud codificada en base64.

El nuevo infostealer Atomic MacOS apunta a 50 billeteras criptográficas

Un nuevo malware de robo de información de macOS llamado 'Atomic' (AKA  'AMOS') se vende a los ciberdelincuentes a través de canales privados de Telegram por una suscripción de $ 1,000 USD por mes.

Por este precio, los compradores obtienen un archivo DMG que contiene un malware basado en Go de 64 bits diseñado para apuntar a los sistemas MacOS y robar contraseñas de llaveros, archivos del sistema de archivos local, contraseñas, cookies y tarjetas de crédito almacenadas en los navegadores.

Además, obtienen un panel web que posee una fácil gestión de víctimas, un atacante de fuerza bruta MetaMask, un verificador de criptomonedas, un instalador dmg y la capacidad de recibir registros robados en Telegram.

CISA advierte sobre errores críticos en los sistemas de secuenciación de ADN de Illumina

Illumina es una empresa de tecnología médica con sede en California que desarrolla y fabrica máquinas avanzadas de bioanálisis y secuenciación de ADN. Los dispositivos de la compañía son uno de los más utilizados para la secuenciación de ADN en entornos clínicos, organizaciones de investigación, instituciones académicas, empresas de biotecnología y compañías farmacéuticas en 140 países.

La CISA de EE.UU. y la FDA han emitido una alerta urgente sobre dos vulnerabilidades que afectan al Servicio de copia universal (UCS) de Illumina. "Un actor malicioso no autenticado podría cargar y ejecutar código de forma remota a nivel del sistema operativo, lo que podría permitir que un atacante cambie la configuración, el software o acceda a datos confidenciales en el producto afectado", advierte un aviso de CISA.

La primera vulnerabilidad se rastrea como CVE-2023-1968 (CVSS v3: 10.0). Permite a los atacantes remotos vincularse a direcciones IP expuestas, lo que facilita que un atacante no autenticado escuche todo el tráfico de la red para encontrar más hosts vulnerables en una red.

La segunda falla es CVE-2023-1966 (CVSS v3: 7.4), que es una mala configuración de seguridad que permite a los usuarios de UCS ejecutar comandos con privilegios elevados.

F5 publica nuevo aviso de seguridad

F5 ha publicado un nuevo aviso de seguridad que contempla 1 vulnerabilidad clasificada como de severidad Alta. Esta vulnerabilidad afecta los siguientes productos: BIG-IP y F5OS-C.

• CVE-2022-26343 [CVSSv3: 8.2]
  Vulnerabilidad del procesador Intel

El control de acceso inadecuado en el firmware del BIOS para algunos procesadores Intel(R) puede permitir que un usuario privilegiado habilite potencialmente la escalada de privilegios a través del acceso local.

Este problema de hardware afecta a todos los productos de hardware que utilizan el procesador Intel Xeon D serie 1500.

Todas las versiones de BIG-IP Virtual Edition (VE) se ven potencialmente afectadas si el procesador subyacente a la instalación de BIG-IP VE se ve afectado. Las actualizaciones de microcódigo de Intel están disponibles para abordar este problema, pero deben aplicarse a nivel de hardware, lo que está fuera del alcance de la capacidad de F5 para brindar soporte o aplicar parches.

Vulnerabilidades de VMware en productos Workstation y Fusion

VMware ha publicado 1 nuevo aviso de seguridad que contempla 4 vulnerabilidades, 1 de severidad Crítica y 3 de severidad Alta. Estas vulnerabilidades afectan a los siguientes productos:

• VMware Workstation Pro/Player
• Fusion de VMware

Cabe mencionar que estas vulnerabilidades fueron parte de una cadena de explotación demostrada por los investigadores de seguridad del equipo de STAR Labs hace un mes durante el segundo día del Pwn2Own Vancouver 2023. Los detalles técnicos de la explotación serán revelados por Zero Day Initiative de Trend Micro cuando pasen 90 días desde la revelación de estas en Pwn2Own.

Cisco publica nuevo aviso de seguridad que afecta a uno de sus productos

Cisco ha publicado 1 nuevo aviso de seguridad que contempla 1 vulnerabilidad, la cual se clasifica de severidad Media, afectando al  producto Cisco Prime Collaboration Deployment.

• CVE-2023-20060 [CVSS: 6.1]
  Vulnerabilidad de Cross-Site Scripting en Cisco Prime Collaboration Deployment

Una vulnerabilidad en la interfaz de administración basada en web de Cisco Prime Collaboration Deployment, podría permitir que un atacante remoto no autenticado realice un ataque de Cross-Site Scripting contra un usuario de la interfaz de administración.

Esta vulnerabilidad existe porque la interfaz de administración basada en web no valida correctamente la entrada proporcionada por el usuario. Un atacante podría explotar esta vulnerabilidad al persuadir a un usuario de la interfaz, para que haga clic en un enlace manipulado. Una explotación exitosa podría permitir que el atacante ejecute un código de secuencia de comandos arbitrario en el contexto de la interfaz afectada o acceda a información confidencial basada en el navegador.

• Nota: Cisco planea lanzar actualizaciones de software que aborden esta vulnerabilidad en mayo de este año, por el momento NO hay soluciones alternativas que aborden esta vulnerabilidad.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 2 al 7 de mayo de 2023:

Objetivos observados durante semana de análisis: 

• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Construcción e inmobiliaria
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Transportes y servicios automotrices.
• Retail y servicios de consumo
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

DEFCON 1

•  Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio

DEFCON 2

• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica

DEFCON 3

• Construcción e inmobiliaria
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Transportes y servicios automotrices.

DEFCON 4

• Retail y servicios de consumo
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.