ENTEL Weekly Threat Intelligence Brief del 22 de mayo al 28 de mayo de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Controladores de kernel de Windows maliciosos utilizados en ataques de ransomware BlackCat
• Rhysida Ransomware
• El fabricante de armas Rheinmetall confirma ataque de ransomware BlackBasta
• Operación Magalenha apunta a credenciales de 30 bancos portugueses
• El nuevo malware PowerExchange hace puertas traseras en los servidores de Microsoft Exchange
• Nuevo malware CosmicEnergy vinculado a Rusia apunta a sistemas industriales
• Gobierno colombiano en la mira de presuntos hacktivistas
• GoldenJackal ataca a entidades gubernamentales desde 2019
• Ciberactores apuntan a 1,5 millones de sitios de WordPress con la explotación del complemento de consentimiento de cookies
• Falla grave en el servicio Cloud SQL de Google Cloud expuso datos confidenciales
• VMware publica vulnerabilidad de NSX-T

Controladores de kernel de Windows maliciosos utilizados en ataques de ransomware BlackCat

Recientemente se observó que el grupo de ransomware ALPHV (también conocido como BlackCat) emplea controladores del kernel de Windows maliciosos firmados para evadir la detección por parte del software de seguridad durante los ataques. Este nuevo controlador utilizado por BlackCat  les ayuda a elevar sus privilegios en las máquinas comprometidas y luego detener los procesos relacionados con los agentes de seguridad.

El controlador visto por Trend Micro es una versión mejorada del malware conocido como POORTRY que Microsoft, Mandiant, Sophos y SentinelOne detectaron en ataques de ransomware  a finales de 2022 . El malware POORTRY es un controlador del kernel de Windows firmado con claves robadas pertenecientes a cuentas legítimas en el Programa de desarrollo de hardware de Windows de Microsoft.

Si bien el software de seguridad generalmente está protegido contra la terminación o la manipulación, ya que los controladores del kernel de Windows se ejecutan con los privilegios más altos en el sistema operativo, se pueden usar para terminar casi cualquier proceso.

Los investigadores dicen que los actores del ransomware intentaron usar el controlador POORTRY firmado por Microsoft, pero sus tasas de detección fueron altas después de la publicidad que recibió y después de que se revocaron las claves de firma de código.

Por lo tanto, los ciberactores implementaron una versión actualizada del controlador de kernel POORTRY firmado con un certificado de firma cruzada robado o filtrado.

Se observaron los siguientes comandos expuestos que se pueden emitir al controlador:

• Activar controlador
• Desactivar el controlador después de que el cliente en modo usuario termine su operación
• Elimina cualquier proceso en modo usuario
• Eliminar rutas de archivos específicas
• Forzar la eliminación de un archivo liberando sus identificadores y terminando los procesos en ejecución que lo utilizan
• Copiar archivos
• Forzar la copia de archivos usando un mecanismo similar a la eliminación forzada
• Registrar devoluciones de llamada de notificación de procesos y subprocesos
• Anular el registro de devoluciones de llamada de notificación de procesos y subprocesos
• Reiniciar el sistema llamando a la API HalReturnToFirmware

Rhysida Ransomware

En mayo de 2023, se ha identificado a un nuevo grupo de ransomware llamado Rhysida, luego de la aparición de su portal de chat de soporte para víctimas alojado a través de TOR.

Rhysida se implementa de múltiples maneras. Los métodos principales incluyen la implementación a través de Cobalt Strike, además de campañas de phishing.

Al ejecutarse, Rhysida mostrará una ventana cmd[.]exe a medida que atraviesa todos los archivos en todas las unidades locales. Una vez finalizado indica a las víctimas que se pongan en contacto con los atacantes a través de su portal basado en TOR, utilizando su identificador único proporcionado en las notas de rescate. Rhysida acepta pagos en BTC (Bitcoin) únicamente y brinda a las víctimas información sobre la compra y el uso de BTC.

El fabricante de armas Rheinmetall confirma ataque de ransomware BlackBasta

El fabricante alemán de automóviles y armas Rheinmetall AG confirma que sufrió un ataque de ransomware BlackBasta que afectó su negocio civil.

El sábado 20 de mayo de 2023, BlackBasta publicó Rheinmetall en su sitio de extorsión junto con muestras de los datos que los ciberactores afirman haber robado a la empresa alemana. Las muestras de datos publicadas incluyen acuerdos de confidencialidad, esquemas técnicos, escaneos de pasaportes y órdenes de compra.

“Debido a la infraestructura de TI estrictamente separada dentro del Grupo, el negocio militar de Rheinmetall no se ve afectado por el ataque” dijo  Rheinmetall en un comunicado

El grupo de ransomware BlackBasta lanzó sus operaciones en abril de 2022 y recientemente ha tenido múltiples ataques exitosos contra entidades de alto perfil.

• El 7 de mayo de 2023, el grupo de amenazas anunció un ataque contra el proveedor líder de tecnología de automatización y electrificación  ABB .
• En abril de 2023, BlackBasta atacó a  Yellow Pages Group y robó documentos y datos confidenciales en el proceso.
• El 22 de marzo de 2023, los actores de amenazas se infiltraron en la red corporativa de  Capita , un gigante británico de subcontratación contratado por varios departamentos del gobierno y el ejército del Reino Unido.

Gobierno colombiano en la mira de presuntos hacktivistas

Recientemente se lanzó una campaña dirigida a Colombia llamada “OpColombia”, esto dado al encarcelamiento de un simpatizante de los presuntos hacktivistas.

Los ciberactores detrás de este ataque se llaman SiegedSec quienes afirman haber robado 6 GB de datos, incluidos correos electrónicos, documentos confidenciales y tarjetas de identificación de los sitios web jcc[.]gov[.]co y hlp[.]gov[.]co.

El día 28 de mayo SiegedSec hizo público datos robados, además de afirmar haber obtenido acceso a sistemas de control industrial del suministro de energía y sistemas de abastecimiento de combustible complementando que estos ataques apagaron los sistemas afectados.

Si bien estos parecen atacar a las víctimas de manera indiscriminada, no parecen estar motivados por el dinero y no se cree que hayan pedido un rescate a sus objetivos. Según diferentes informes, en un solo año, SiegedSec ha comprometido a unas 30 empresas, robando datos y filtrando correos electrónicos.
 

GoldenJackal ataca a entidades gubernamentales desde 2019

Un grupo de amenazas persistentes avanzadas (APT) relativamente desconocido llamado 'GoldenJackal' ha estado apuntando a entidades gubernamentales y diplomáticas en Asia desde 2019 por espionaje.

Los actores de amenazas han mantenido un perfil bajo, seleccionando cuidadosamente a sus víctimas y manteniendo la cantidad de ataques al mínimo para reducir la probabilidad de exposición.

Investigadores de Kaspersky han estado rastreando a GoldenJackal desde 2020 e informan que los actores de amenazas han tenido una actividad notable en Afganistán, Azerbaiyán, Irán, Irak, Pakistán y Turquía.

Los vectores de infección de la APT son desconocidos. Sin embargo, los investigadores han observado indicios de operaciones de phishing con documentos maliciosos que emplean la técnica de inyección remota de plantillas para explotar la  vulnerabilidad de Microsoft Office Follina.

Además, se ha visto un caso de instaladores troyanos de 'Skype for Business' que colocan un troyano junto con una copia legítima del software.

GoldenJackal emplea un conjunto de herramientas de malware [.]NET personalizadas que brindan varias funciones, incluido el volcado de credenciales, el robo de datos, la carga de malware, el movimiento lateral, la exfiltración de archivos y más.

Las herramientas que estos ciberactores usan se denominan:

• JackalControl - Payload principal
• JackalSteal - Exfiltración de datos
• JackalWorm - Worm
• JacklPerInfo - Infostealer
• JackalScreenWatcher - Capturas de pantalla

Aunque se conocen pocas cosas sobre las tácticas operativas de la APT, la diversidad en las cadenas de infección observadas combinadas con herramientas de malware altamente capaces no deja dudas de que se trata de un actor de amenazas sofisticado.

El nuevo malware PowerExchange hace puertas traseras en los servidores de Microsoft Exchange

Se utilizó un nuevo malware basado en PowerShell denominado PowerExchange en ataques vinculados a piratas informáticos estatales iraníes APT34 a servidores de Microsoft Exchange locales de puerta trasera.

Después de infiltrarse en el servidor de correo a través de un correo electrónico de phishing que contenía un ejecutable malicioso archivado, los actores de la amenaza implementaron un shell web llamado ExchangeLeech (observado por primera vez por el equipo de respuesta a incidentes de Digital14 en el 2020) que puede robar las credenciales de los usuarios.

El equipo de investigación de amenazas de FortiGuard Labs encontró la puerta trasera de PowerExchange en los sistemas comprometidos de una organización gubernamental de los Emiratos Árabes Unidos.

El malware se comunica con su servidor de comando y control (C2) a través de correos electrónicos enviados mediante la API de Exchange Web Services (EWS), enviando información robada y recibiendo comandos codificados en base64 a través de archivos adjuntos de texto a correos electrónicos con el asunto "Update Microsoft Edge".
 

Nuevo malware CosmicEnergy vinculado a Rusia apunta a sistemas industriales

De acuerdo a una reciente investigación de Mandiant del 25 de mayo,  fue identificado un nuevo malware orientado especialmente a  tecnología operativa (OT) y sistemas de control industrial (ICS), diseñado para causar impacto físico en los ataques, como interrupciones en la energía eléctrica.

El modus operandi del malware es obtener el acceso inicial a través de dispositivos IEC 60870-5-104 (IEC-104), como unidades terminales remotas (RTU), que comúnmente se aprovechan en las operaciones de transmisión y distribución eléctrica. 

De acuerdo a la investigación inicial de esta nueva amenaza, se conoce que está especialmente enfocada a países de Europa, Medio Oriente y Asia.

• Para mas informacion visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1602/

Operación Magalenha apunta a credenciales de 30 bancos portugueses

Un grupo de ciberactores brasileños han estado apuntando a treinta instituciones financieras privadas y gubernamentales portuguesas desde 2021 en una campaña maliciosa llamada “Operación Magalenha”.

Ejemplos de entidades objetivo incluyen ActivoBank, Caixa Geral de Depósitos, CaixaBank, Citibanamex, Santander, Millennium BCP, ING, Banco BPI y Novobanco.

Esta campaña fue expuesta por un informe de Sentinel Labs que destaca las herramientas utilizadas por el actor de amenazas, los diversos vectores de infección y sus métodos de distribución de malware.

Los atacantes utilizan muchos métodos para distribuir su malware a los objetivos, incluidos correos electrónicos de phishing que fingen provenir de Energias de Portugal (EDP) y la Autoridad de Impuestos y Aduanas (AT) de Portugal, ingeniería social y sitios web maliciosos que imitan a estas organizaciones.

La infección comienza con la ejecución de un script VB ofuscado que busca y ejecuta un cargador de malware, que a su vez carga dos variantes de la puerta trasera 'PeepingTitle' en el sistema de la víctima después de un retraso de cinco segundos.

PeepingTitle es un malware escrito en Delphi con una fecha de compilación de abril de 2023. El malware busca ventanas que coincidan con una lista de instituciones financieras codificadas y, cuando encuentra una, registra todas las entradas del usuario (incluidas las credenciales) y las envía al servidor C2 del actor de amenazas.

Ciberactores apuntan a 1,5 millones de sitios de WordPress con la explotación del complemento de consentimiento de cookies

Se han identificado ataques en curso dirigidos a una vulnerabilidad de secuencias de comandos entre sitios almacenados (XSS) no autenticadas en un complemento de consentimiento de cookies de WordPress llamado Beautiful Cookie Consent Banner con más de 40,000 instalaciones activas.

En los ataques XSS, los actores de amenazas inyectan scripts JavaScript maliciosos en sitios web vulnerables que se ejecutarán dentro de los navegadores web de los visitantes.

El impacto puede incluir acceso no autorizado a información confidencial, secuestro de sesiones, infecciones de malware a través de redireccionamientos a sitios web maliciosos o un compromiso total del sistema del objetivo.

La empresa de seguridad de WordPress Defiant, que detectó los ataques, dice que la vulnerabilidad en cuestión también permite a los atacantes no autenticados crear cuentas de administrador no autorizadas en sitios web de WordPress que ejecutan versiones de complementos sin parches (hasta 2.10.1 inclusive).

La falla de seguridad explotada en esta campaña fue reparada en enero con el lanzamiento de la versión 2.10.2.

Falla grave en el servicio Cloud SQL de Google Cloud expuso datos confidenciales

Se ha revelado una nueva falla de seguridad en el servicio Cloud SQL de Google Cloud Platform (GCP) que podría explotarse potencialmente para obtener acceso a datos confidenciales.

"La vulnerabilidad podría haber permitido que un actor malicioso pase de ser un usuario básico de Cloud SQL a un administrador de sistemas completo en un contenedor, obteniendo acceso a datos internos de GCP como secretos, archivos confidenciales, contraseñas, además de datos de clientes", dijo la firma de seguridad Dig .

Cloud SQL es una solución completamente administrada para crear bases de datos MySQL, PostgreSQL y SQL Server para aplicaciones basadas en la nube.

La cadena de ataque de múltiples etapas identificada por Dig,  aprovechó una brecha en la capa de seguridad de la plataforma en la nube asociada con SQL Server para escalar los privilegios de un usuario a un rol de administrador. Posteriormente, los permisos elevados permitieron abusar de otra configuración errónea crítica para obtener derechos de administrador del sistema y tomar el control total del servidor de la base de datos.

A partir de ahí, un actor de amenazas podría acceder a todos los archivos alojados en el sistema operativo subyacente, enumerar archivos y extraer contraseñas, que luego podrían actuar como una plataforma de lanzamiento para futuros ataques.
 

VMware publica vulnerabilidad de NSX-T

VMware ha publicado 1 nuevo aviso de seguridad que contempla 1 vulnerabilidad de severidad Media. Esta falla afecta a los siguientes productos:

• Para mas informacion visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1600/

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 22 al 28 de mayo de 2023:

Objetivos observados durante semana de análisis:

• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Construcción e inmobiliaria
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Transportes y servicios automotrices.
• Retail y servicios de consumo
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica
• Construcción e inmobiliaria
• Banca y Finanzas
• Defensa y orden público
• Servicios empresariales y comercio
• Transportes y servicios automotrices.
• Infraestructura tecnológica - Componentes
• Educación
• Servicios de salud, sociales y farmacia

• Gobierno

• Petróleo
• Turismo, hoteles y restaurantes

• Servicios básicos y sanitarios
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.