ENTEL Weekly Threat Intelligence Brief del 15 al 21 de mayo de 2023
22 Mayo 2023Amenaza
El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
- Identificada nueva campaña de ransomware llamada RA Group
- Lacroix Group cierra sus tres plantas después de un ataque cibernético
- Nueva campaña de Clop Ransomware activada por el grupo de amenaza FIN7
- Grupo rastreado como UNC3844, apunta a entornos CLOUD, especialmente máquinas virtuales de Microsoft Azure
- Grupo Hactivista denominado SiegedSec comprometió al menos 30 emisoras de radios colombianas
- Lancefly APT utiliza backdoor personalizado para atacar organizaciones asiáticas
- Malware CLR SqlShell utilizado para atacar servidores MS-SQL
- Malware TurkoRat de tipo infostealer encontrado en los repositorios de paquetes NPM para algunos módulos de python
- Campaña activa de BatLoader que utiliza anuncios de búsqueda de Google para ofrecer páginas web impostoras de ChatGPT y Midjourney
- Vulnerabilidad de Microsoft Teams permite entregar phishing y malware por parte de los atacantes
- Apple corrigió tres nuevas vulnerabilidades de día cero explotadas activamente
- Nuevo aviso de seguridad en Jenkins
- Múltiples avisos de seguridad afectan a productos Cisco
- Nuevo TLD .zip en la mira por ciberactores
- Operación Medusa del FBI neutraliza Spyware Snake
Identificada nueva campaña de ransomware llamada RA Group
Se ha evidenciado en una investigación reciente de Cisco Talos del 15 de mayo, un nuevo grupo de ransomware llamado RA Group que se encuentra operando desde al menos el 22 de abril de 2023.
Este grupo tiene como objetivo principal organizaciones en varias verticales comerciales, que incluyen fabricación, gestión de patrimonio, proveedores de seguros y productos farmacéuticos.
Los países identificados en los ataques más recientes por éste grupo, corresponden a EE.UU y Corea del Sur.
Según los investigadores éste grupo de ciberactores parece estar utilizando el código fuente filtrado de Babuk en sus ataques. Después de que un presunto miembro del grupo Babuk filtrara el código fuente completo de su ransomware en septiembre de 2021, permitiendo el surgimiento de varias familias de ésta variante de ransomware entre las cuales se mencionan:
- Abril 2023 (Rorschach, RTM Locker, RA Group)
- Febrero 2023 (ESXiArgs)
- Junio 2022 (AstraLocker 2.0)
- Mayo 2022 (Nokoyawa, Cheerscrypt)
- Marzo 2022 (Pandora)
- Junio 2022 (Night Sky)
- Diciembre 2021 (Rook)
Lacroix Group cierra sus tres plantas después de un ataque cibernético
Lacroix es un grupo empresarial francés de productos electrónicos cuyas sedes se distribuyen en Francia, Alemania y Túnez, principalmente dedicado al diseño y fabricación de equipos electrónicos para sus clientes en múltiples sectores, incluidos los sectores de automoción, aeroespacial, industrial y sanitario.
El pasado 12 de mayo la compañía anunció el cierre de sus plantas tras un incidente cibernético asociado a un ransomware, sin embargo, aún se desconoce la atribución del ciberataque a algún grupo de ransomware o las tácticas, técnicas y procedimientos usados para conseguir el acceso inicial.
Nueva campaña de Clop Ransomware activada por el grupo de amenaza FIN7
Según una publicación de Microsoft, se ha detectado una nueva campaña activa desde al menos abril 2023, en el cual el grupo FIN7 también conocido como (Carbanak, ELBRUS e ITG14), adoptó una nueva taxonomía denominada Sangría Tempest, que apunta a organizaciones software, consultoría, servicios financieros, equipos médicos, servicios en la nube, medios, alimentos y bebidas, transporte y servicios públicos.
De acuerdo a los investigadores, una de las técnicas usadas por el grupo es la implementación del script de PowerShell POWERTRASH, que utiliza para cargar la herramienta de post-explotación de Lizar y establecerse en una red de destino, donde posteriormente usará OpenSSH e Impacket para moverse lateralmente e implementar el ransomware Clop.
Ransomware BianLian apunta a infraestructura crítica
De acuerdo a recientes avisos de seguridad emitidos por el FBI y la CISA se ha detectado a un grupo de ciberactores, denominado BianLian, que a través de la extorsión por medio de ransomware están afectando a distintas organizaciones en múltiples sectores de infraestructura crítica, servicios profesionales y de desarrollo inmobiliario tanto en EE.UU. como en Australia, estas actividades maliciosas han estado presentes desde junio del 2022. Para más información consulte el siguiente enlace:
Grupo rastreado cómo UNC3844, apunta a entornos CLOUD, especialmente máquinas virtuales de Microsoft Azure
De acuerdo a una reciente investigación de Mandiant publicada el 16 de mayo, se ha identificado actividad del grupo rastreado como UNC3944, apuntando a entornos cloud, haciendo uso malicioso de la consola serial de los entornos virtuales de Azure (VM), para instalar software de administración remota de terceros dentro de los entornos de los clientes. De acuerdo a los investigadores éste tipo de técnica evita muchos de los métodos de detección tradicionales empleados en Azure y proporciona al atacante acceso administrativo completo a la máquina virtual y estableciendo la persistencia con la técnica de intercambio de SIM que consisten en obtener los códigos de verificación que empresas, plataformas y entidades bancarias suelen enviar a sus clientes a través de los dispositivos móviles.
Por otro lado para conseguir acceso inicial, los actores de amenaza siguien haciendo uso de la tradicional técnica de phishing por correo electrónico y SMS,
por lo que es imperativo seguir reforzando las medidas correspondientes de concientización a los usuarios, siendo éstos el eslabón más débil dentro de la cadena de ataque.
En la investigación también se observó que el grupo UNC3944 está desplegando dos utilidades legítimas de windows identificadas como:
- STONESTOP: utilidad utilizada para finalizar procesos creando y cargando un controlador malicioso.
- POORTRY: que corresponde a un controlador de Windows que implementa la finalización del proceso y requiere una utilidad de usuario para iniciar la funcionalidad.
Grupo Hactivista denominado SiegedSec comprometió al menos 30 emisoras de radios colombianas.
SiegedSec es un grupo hacktivista orientado a numerosos sectores industriales en todo el mundo, incluidos el cuidado de la salud, la tecnología de la información, los seguros, el derecho y las finanzas. Entre los países que han sido identificados como víctimas de este grupo corresponden a : India, Pakistán, Indonesia, Sudáfrica, EE. UU., Filipinas, Costa Rica, México y otros.
De acuerdo a una noticia observada de Cyber Express, la campaña de ataque denominada #OpColombia, #FreeOrg0n de éste grupo, dió inició tras el arresto de lo que parece ser uno de los miembros cercanos al líder del grupo SiegedSec que se hacía llamar Org0n.
El compromiso se evidenció en varias organizaciones colombianas entre las que destacan como ataque principal a casi 30 transmisiones de radio y 8 receptores de satélite afiliados al gobierno, hasta el momento se desconoce las tácticas, técnicas y procedimientos empleados para conseguir el acceso inicial a las organizaciones comprometidas.
Lancefly APT utiliza backdoor personalizado para atacar organizaciones asiáticas
De acuerdo a una investigación de Symantec, el malware usado por este grupo es denominado Merdoor que tiene una campaña activa desde el primer trimestre de 2023.
El principal propósito de esta campaña es recolectar información de inteligencia principalmente del sur y suroeste de Asia, especialmente de sectores orientados a gobierno, aviación, educación y telecomunicaciones.
Lo que diferencia esta campaña de las anteriores es el uso de una nueva variante del malware tipo rootkit denominado ZXShell, expuesto por primera vez en el 2014. La nueva versión del rootkit utilizada por Lancefly parece ser más pequeña, mientras que también tiene funciones adicionales y apunta a software antivirus para deshabilitarlo.
Malware CLR SqlShell utilizado para atacar servidores MS-SQL
En una reciente investigación observada del 11 de mayo de ASEC, uno de los principales vectores de ataque para sistemas basados en windows corresponden en gran medida a los servidores MS-SQL con contraseñas simples y abiertos públicamente a Internet que admiten el procedimiento almacenado (CLR ).
De acuerdo a la investigación, el malware busca entornos en los que se ha instalado el servicio MS-SQL mediante la búsqueda de servidores con puertos 1433 abiertos. Después del proceso de escaneo, intentan iniciar sesión en el servidor MS-SQL confirmado mediante ataques de fuerza bruta o de diccionario. Además, la mayoría de las funciones que permiten ejecutar comandos del sistema operativo Windows requieren un administrador de SQL.
Después de obtener una cuenta de administración y con privilegios, el actor de amenazas ejecuta comandos maliciosos o instala el malware real para obtener control sobre el sistema infectado. Además, los privilegios de la cuenta solo otorgan control sobre los servidores de base de datos MS-SQL, y no sobre el sistema operativo Windows en sí. En otras palabras, aunque se permite la ejecución de comandos SQL, las funciones que pueden afectar directamente al sistema operativo Windows no se proporcionan de forma predeterminada.
Sin embargo, MS-SQL proporciona varias funciones que permiten la ejecución de comandos del sistema operativo en el sistema operativo Windows. Explotar esto finalmente permite la ejecución de comandos del sistema operativo. La siguiente sección cubrirá los métodos que permiten la ejecución de comandos del sistema operativo a través de servidores de bases de datos MS-SQL. Estas funciones tienen vulnerabilidades de seguridad, ya que no son comandos SQL predeterminados, por lo que la mayoría de ellas están deshabilitadas de forma predeterminada. Sin embargo, las cuentas de administrador pueden habilitar esta configuración, lo que significa que iniciar sesión en una cuenta de administrador permite acceder a estas funciones. Por lo tanto, se puede obtener control sobre un sistema operativo Windows como resultado de adquirir una cuenta administrativa.
Malware TurkoRat de tipo infostealer encontrado en los repositorios de paquetes NPM para algunos módulos de python
De acuerdo a una investigación observada de ReversingLabs del 18 de mayo , paquetes como: npm nodejs-encrypt-agent, estan siendo manipulados por los ciberactores para distribuir el malware TurkoRat, que es un malware de código abierto de robo de información que puede obtener una amplia gama de datos de la máquina infectada, incluidas las credenciales de inicio de sesión de la cuenta, las billeteras de criptomonedas y las cookies del sitio web. El malware también admite funcionalidades de análisis y anti-sandbox para evitar la detección y evitar que se analice.
Según los investigadores los ciberactores se valen de los archivos portables ejecutables (PE) para agrupar todos los archivos necesarios para distribuir malware en un solo archivo ejecutable y hacerlo pasar por uno de los paquetes legítimos cambiando o agregando algún carácter alfanumérico similar al legítimo y exponiendo versiones elevadas, con el propósito de confundir a los desarrolladores de software para usar su paquete en vez del legítimo y permitirles propagar el malware, entre los paquetes malignos npm que están siendo usados para confundir a los desarrolladores de software al momento de ésta investigación corresponden a:
- nodejs-encrypt-agent
- nodejs-cookie-proxy-agent
La variación de esos paquetes malignos a los legítimos corresponden a solo un par de caracteres, paquetes que a su vez están asociados a la página real o repositorio de Github del paquete legítimo, por lo que los desarrolladores deben ser cada vez más cuidadosos en hacer uso de paquetes y librerías de los programas o lenguajes usados, asegurándose que sean los correspondientes.
Campaña activa de BatLoader que utiliza anuncios de búsqueda de Google para ofrecer páginas web impostoras de ChatGPT y Midjourney
De acuerdo a una investigación observada, dos de los servicios más populares de inteligencia artificial (IA), ChatGPT y Midjourney; están siendo usados activamente por los ciberactores para distribuir malware.
Según los investigadores, la última campaña de este malware utiliza archivos MSIX Windows App Installer para infectar dispositivos con Readline Stealer. Esta no es la primera vez que BatLoader se dirige a usuarios que buscan herramientas de IA. En febrero de 2023, los investigadores identificaron una serie de dominios de BatLoader recién registrados, que incluían chatgpt-t[.]com.
Nuevo TLD .zip en la mira por ciberactores
Recientemente se ha identificado la creación de un nuevo TLD (Top Level Domain) que permite la generación de dominios finalizados en .zip, lo que coincide exactamente con una ya conocida extensión de archivos comprimidos y que actores maliciosos están utilizando para levantar infraestructura maliciosa.
Para más información consulte el siguiente enlace:
Operación Medusa del FBI neutraliza Spyware Snake
Recientemente las fuerzas de orden de Estados Unidos han comunicado que mediante una operación conjunta bajo el nombre de Medusa, han logrado dar de baja la infraestructura del malware de ciberespionaje Snake, operado desde Rusia desde hace dos décadas hacia objetivos tácticos y estratégicos de diferentes sectores productivos, logrando así crear una red P2P para una comunicación sigilosa entre todos los nodos.
Para más información consulte el siguiente enlace:
Vulnerabilidad de Microsoft Teams permite entregar phishing y malware por parte de los atacantes
En una reciente investigación observada de Proofpoint, se evidenciaron más de 450 millones de sesiones maliciosas dirigidas a usuarios de la nube de Microsoft 365 donde una de las 10 aplicaciones más relevantes corresponde a Microsoft Teams.
La plataforma Microsoft Teams proporciona un mecanismo de mensajería personal y grupal, a través de canales o chats de Teams. Cada canal o chat puede contener pestañas adicionales creadas por diferentes aplicaciones. Un ejemplo de una pestaña predeterminada que aparece en los chats personales y grupales es la pestaña "Archivos" , asociada con SharePoint y OneDrive. Estas pestañas son justamente el vector de ataque usado por los actores de amenaza.
Por lo general, los usuarios pueden cambiar el nombre de las pestañas como lo deseen, siempre que el nuevo nombre no se superponga con el nombre de una pestaña existente (por ejemplo: "Archivos"). Además, se supone que los usuarios no pueden reubicar las pestañas de manera que se coloquen antes de las pestañas predeterminadas (p. ej., "Archivos").
Sin embargo, al usar estas llamadas a la API de Teams no documentadas, las pestañas se pueden reordenar y renombrar para que la pestaña original se pueda intercambiar con una nueva pestaña personalizada permitiendo que los actores de amenazan puedan anclar un sitio web malicioso elegido como una pestaña en la parte superior de un canal o chat de Teams y redireccionar a la víctima a una página web de phishing de credenciales que se hace pasar por una página de inicio de sesión de Microsoft 365.
Apple corrigió tres nuevas vulnerabilidades de día cero explotadas activamente
De acuerdo a una investigación observada, Apple ha abordado tres nuevas vulnerabilidades de día cero que se explotan activamente para comprometer dispositivos iPhones, Macs y iPads.
Las tres vulnerabilidades fueron rastreadas con los siguientes CVE y residen principalmente en el navegador WebKit:
- CVE-2023-32409: un atacante remoto puede salir del entorno limitado de contenido web.
- CVE-2023-28204: el procesamiento de contenido web puede revelar información confidencial.
- CVE-2023-32373: el procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario.
Para más información respecto a las vulnerabilidades mencionadas, puede consultar la página oficial de Apple:
Nuevo aviso de seguridad en Jenkins
El servidor open source Jenkins, publicó un aviso de seguridad que contiene 36 vulnerabilidades que se clasifican en 9 de severidad Alta, 26 de severidad Media, y 1 de severidad Baja, afectando a complementos como:
- Ansible Plugin
- AppSpider Plugin
- Azure VM Agents Plugin
- CAS Plugin
- Code Dx Plugin
- Email Extension Plugin
- File Parameter Plugin
- HashiCorp Vault Plugin
- LDAP Plugin
- LoadComplete support Plugin
- NS-ND Integration Performance Publisher Plugin
- Pipeline Utility Steps Plugin
- Pipeline: Job Plugin
- Reverse Proxy Auth Plugin
- SAML Single Sign On(SSO) Plugin
- Sidebar Link Plugin
- Tag Profiler Plugin
- TestComplete support Plugin
- TestNG Results Plugin
- WSO2 Oauth Plugin
Para más información consulte el siguiente enlace:
Múltiples avisos de seguridad afectan a productos Cisco
Cisco ha publicado 10 nuevos avisos de seguridad que contienen 26 vulnerabilidades, de las cuales 9 son de severidad Crítica y 17 de severidad Media. Estas fallas afectan a productos como:
- Cisco Firmware
- Series Smart Switches
- Cisco ISE
- Entre otros
Para más información consulte el siguiente enlace:
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 22 al 28 de mayo de 2023.
Objetivos observados durante semana de análisis:
- Banca y Finanzas
- Construcción e inmobiliaria
- Retail y servicios de consumo
- Infraestructura tecnológica - Componentes
- Educación
- Infraestructura tecnológica
- Servicios de salud, sociales y farmacia
- Industrias manufactureras, materiales y minería
- Servicios legales y profesionales
- Entretenimiento, cultura y arte
- Organizaciones sin fines de lucro
- Shipment y cadena de suministros
- Agricultura, ganadería, silvicultura y pesca - producción
- Defensa y orden público
- Gobierno
- Petróleo
- Servicios básicos y sanitarios
- Servicios empresariales y comercio
- Transportes y servicios automotrices.
- Turismo, hoteles y restaurantes
- Agricultura, ganadería, silvicultura y pesca - consumo
- Retail y servicios de consumo
- Infraestructura tecnológica
- Servicios legales y profesionales
- Industrias manufactureras, materiales y minería
- Defensa y orden público
- Infraestructura tecnológica - Componentes
- Entretenimiento, cultura y arte
- Organizaciones sin fines de lucro
- Shipment y cadena de suministros
- Servicios empresariales y comercio
- Transportes y servicios automotrices.
- Turismo, hoteles y restaurantes
- Agricultura, ganadería, silvicultura y pesca - producción
- Gobierno
- Organizaciones sin fines de lucro
- Petróleo
- Servicios básicos y sanitarios
- Servicios empresariales y comercio
- Shipment y cadena de suministros
- Agricultura, ganadería, silvicultura y pesca - consumoBanca y Finanzas
- Construcción e inmobiliaria
- Educación
- Servicios de salud, sociales y farmacia
- Agricultura, ganadería, silvicultura y pesca - producción
- Gobierno
- Petróleo
- Servicios básicos y sanitarios
- Turismo, hoteles y restaurantes
- Agricultura, ganadería, silvicultura y pesca - consumo
Mitigación
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
- Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
- Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
- Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
- Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
- Proteger el protocolo RDP:
- Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
- Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
- Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente.
- Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales.
- Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada.
- Habilitar la autenticación de nivel de red (NLA).
- Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
- Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
- Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
- Actualizar los equipos con Windows a las últimas versiones.
- Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
- Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
- Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
- Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.
- Indicadores de compromiso
-