El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
Controladores de kernel de Windows maliciosos utilizados en ataques de ransomware BlackCat
Recientemente se observó que el grupo de ransomware ALPHV (también conocido como BlackCat) emplea controladores del kernel de Windows maliciosos firmados para evadir la detección por parte del software de seguridad durante los ataques. Este nuevo controlador utilizado por BlackCat les ayuda a elevar sus privilegios en las máquinas comprometidas y luego detener los procesos relacionados con los agentes de seguridad.
El controlador visto por Trend Micro es una versión mejorada del malware conocido como POORTRY que Microsoft, Mandiant, Sophos y SentinelOne detectaron en ataques de ransomware a finales de 2022 . El malware POORTRY es un controlador del kernel de Windows firmado con claves robadas pertenecientes a cuentas legítimas en el Programa de desarrollo de hardware de Windows de Microsoft.
Si bien el software de seguridad generalmente está protegido contra la terminación o la manipulación, ya que los controladores del kernel de Windows se ejecutan con los privilegios más altos en el sistema operativo, se pueden usar para terminar casi cualquier proceso.
Los investigadores dicen que los actores del ransomware intentaron usar el controlador POORTRY firmado por Microsoft, pero sus tasas de detección fueron altas después de la publicidad que recibió y después de que se revocaron las claves de firma de código.
Por lo tanto, los ciberactores implementaron una versión actualizada del controlador de kernel POORTRY firmado con un certificado de firma cruzada robado o filtrado.
Se observaron los siguientes comandos expuestos que se pueden emitir al controlador:
Rhysida Ransomware
En mayo de 2023, se ha identificado a un nuevo grupo de ransomware llamado Rhysida, luego de la aparición de su portal de chat de soporte para víctimas alojado a través de TOR.
Rhysida se implementa de múltiples maneras. Los métodos principales incluyen la implementación a través de Cobalt Strike, además de campañas de phishing.
Al ejecutarse, Rhysida mostrará una ventana cmd[.]exe a medida que atraviesa todos los archivos en todas las unidades locales. Una vez finalizado indica a las víctimas que se pongan en contacto con los atacantes a través de su portal basado en TOR, utilizando su identificador único proporcionado en las notas de rescate. Rhysida acepta pagos en BTC (Bitcoin) únicamente y brinda a las víctimas información sobre la compra y el uso de BTC.
El fabricante de armas Rheinmetall confirma ataque de ransomware BlackBasta
El fabricante alemán de automóviles y armas Rheinmetall AG confirma que sufrió un ataque de ransomware BlackBasta que afectó su negocio civil.
El sábado 20 de mayo de 2023, BlackBasta publicó Rheinmetall en su sitio de extorsión junto con muestras de los datos que los ciberactores afirman haber robado a la empresa alemana. Las muestras de datos publicadas incluyen acuerdos de confidencialidad, esquemas técnicos, escaneos de pasaportes y órdenes de compra.
“Debido a la infraestructura de TI estrictamente separada dentro del Grupo, el negocio militar de Rheinmetall no se ve afectado por el ataque” dijo Rheinmetall en un comunicado
El grupo de ransomware BlackBasta lanzó sus operaciones en abril de 2022 y recientemente ha tenido múltiples ataques exitosos contra entidades de alto perfil.
Gobierno colombiano en la mira de presuntos hacktivistas
Recientemente se lanzó una campaña dirigida a Colombia llamada “OpColombia”, esto dado al encarcelamiento de un simpatizante de los presuntos hacktivistas.
Los ciberactores detrás de este ataque se llaman SiegedSec quienes afirman haber robado 6 GB de datos, incluidos correos electrónicos, documentos confidenciales y tarjetas de identificación de los sitios web jcc[.]gov[.]co y hlp[.]gov[.]co.
El día 28 de mayo SiegedSec hizo público datos robados, además de afirmar haber obtenido acceso a sistemas de control industrial del suministro de energía y sistemas de abastecimiento de combustible complementando que estos ataques apagaron los sistemas afectados.
Si bien estos parecen atacar a las víctimas de manera indiscriminada, no parecen estar motivados por el dinero y no se cree que hayan pedido un rescate a sus objetivos. Según diferentes informes, en un solo año, SiegedSec ha comprometido a unas 30 empresas, robando datos y filtrando correos electrónicos.
GoldenJackal ataca a entidades gubernamentales desde 2019
Un grupo de amenazas persistentes avanzadas (APT) relativamente desconocido llamado 'GoldenJackal' ha estado apuntando a entidades gubernamentales y diplomáticas en Asia desde 2019 por espionaje.
Los actores de amenazas han mantenido un perfil bajo, seleccionando cuidadosamente a sus víctimas y manteniendo la cantidad de ataques al mínimo para reducir la probabilidad de exposición.
Investigadores de Kaspersky han estado rastreando a GoldenJackal desde 2020 e informan que los actores de amenazas han tenido una actividad notable en Afganistán, Azerbaiyán, Irán, Irak, Pakistán y Turquía.
Los vectores de infección de la APT son desconocidos. Sin embargo, los investigadores han observado indicios de operaciones de phishing con documentos maliciosos que emplean la técnica de inyección remota de plantillas para explotar la vulnerabilidad de Microsoft Office Follina.
Además, se ha visto un caso de instaladores troyanos de 'Skype for Business' que colocan un troyano junto con una copia legítima del software.
GoldenJackal emplea un conjunto de herramientas de malware [.]NET personalizadas que brindan varias funciones, incluido el volcado de credenciales, el robo de datos, la carga de malware, el movimiento lateral, la exfiltración de archivos y más.
Las herramientas que estos ciberactores usan se denominan:
Aunque se conocen pocas cosas sobre las tácticas operativas de la APT, la diversidad en las cadenas de infección observadas combinadas con herramientas de malware altamente capaces no deja dudas de que se trata de un actor de amenazas sofisticado.
El nuevo malware PowerExchange hace puertas traseras en los servidores de Microsoft Exchange
Se utilizó un nuevo malware basado en PowerShell denominado PowerExchange en ataques vinculados a piratas informáticos estatales iraníes APT34 a servidores de Microsoft Exchange locales de puerta trasera.
Después de infiltrarse en el servidor de correo a través de un correo electrónico de phishing que contenía un ejecutable malicioso archivado, los actores de la amenaza implementaron un shell web llamado ExchangeLeech (observado por primera vez por el equipo de respuesta a incidentes de Digital14 en el 2020) que puede robar las credenciales de los usuarios.
El equipo de investigación de amenazas de FortiGuard Labs encontró la puerta trasera de PowerExchange en los sistemas comprometidos de una organización gubernamental de los Emiratos Árabes Unidos.
El malware se comunica con su servidor de comando y control (C2) a través de correos electrónicos enviados mediante la API de Exchange Web Services (EWS), enviando información robada y recibiendo comandos codificados en base64 a través de archivos adjuntos de texto a correos electrónicos con el asunto "Update Microsoft Edge".
Nuevo malware CosmicEnergy vinculado a Rusia apunta a sistemas industriales
De acuerdo a una reciente investigación de Mandiant del 25 de mayo, fue identificado un nuevo malware orientado especialmente a tecnología operativa (OT) y sistemas de control industrial (ICS), diseñado para causar impacto físico en los ataques, como interrupciones en la energía eléctrica.
El modus operandi del malware es obtener el acceso inicial a través de dispositivos IEC 60870-5-104 (IEC-104), como unidades terminales remotas (RTU), que comúnmente se aprovechan en las operaciones de transmisión y distribución eléctrica.
De acuerdo a la investigación inicial de esta nueva amenaza, se conoce que está especialmente enfocada a países de Europa, Medio Oriente y Asia.
Operación Magalenha apunta a credenciales de 30 bancos portugueses
Un grupo de ciberactores brasileños han estado apuntando a treinta instituciones financieras privadas y gubernamentales portuguesas desde 2021 en una campaña maliciosa llamada “Operación Magalenha”.
Ejemplos de entidades objetivo incluyen ActivoBank, Caixa Geral de Depósitos, CaixaBank, Citibanamex, Santander, Millennium BCP, ING, Banco BPI y Novobanco.
Esta campaña fue expuesta por un informe de Sentinel Labs que destaca las herramientas utilizadas por el actor de amenazas, los diversos vectores de infección y sus métodos de distribución de malware.
Los atacantes utilizan muchos métodos para distribuir su malware a los objetivos, incluidos correos electrónicos de phishing que fingen provenir de Energias de Portugal (EDP) y la Autoridad de Impuestos y Aduanas (AT) de Portugal, ingeniería social y sitios web maliciosos que imitan a estas organizaciones.
La infección comienza con la ejecución de un script VB ofuscado que busca y ejecuta un cargador de malware, que a su vez carga dos variantes de la puerta trasera 'PeepingTitle' en el sistema de la víctima después de un retraso de cinco segundos.
PeepingTitle es un malware escrito en Delphi con una fecha de compilación de abril de 2023. El malware busca ventanas que coincidan con una lista de instituciones financieras codificadas y, cuando encuentra una, registra todas las entradas del usuario (incluidas las credenciales) y las envía al servidor C2 del actor de amenazas.
Ciberactores apuntan a 1,5 millones de sitios de WordPress con la explotación del complemento de consentimiento de cookies
Se han identificado ataques en curso dirigidos a una vulnerabilidad de secuencias de comandos entre sitios almacenados (XSS) no autenticadas en un complemento de consentimiento de cookies de WordPress llamado Beautiful Cookie Consent Banner con más de 40,000 instalaciones activas.
En los ataques XSS, los actores de amenazas inyectan scripts JavaScript maliciosos en sitios web vulnerables que se ejecutarán dentro de los navegadores web de los visitantes.
El impacto puede incluir acceso no autorizado a información confidencial, secuestro de sesiones, infecciones de malware a través de redireccionamientos a sitios web maliciosos o un compromiso total del sistema del objetivo.
La empresa de seguridad de WordPress Defiant, que detectó los ataques, dice que la vulnerabilidad en cuestión también permite a los atacantes no autenticados crear cuentas de administrador no autorizadas en sitios web de WordPress que ejecutan versiones de complementos sin parches (hasta 2.10.1 inclusive).
La falla de seguridad explotada en esta campaña fue reparada en enero con el lanzamiento de la versión 2.10.2.
Falla grave en el servicio Cloud SQL de Google Cloud expuso datos confidenciales
Se ha revelado una nueva falla de seguridad en el servicio Cloud SQL de Google Cloud Platform (GCP) que podría explotarse potencialmente para obtener acceso a datos confidenciales.
"La vulnerabilidad podría haber permitido que un actor malicioso pase de ser un usuario básico de Cloud SQL a un administrador de sistemas completo en un contenedor, obteniendo acceso a datos internos de GCP como secretos, archivos confidenciales, contraseñas, además de datos de clientes", dijo la firma de seguridad Dig .
Cloud SQL es una solución completamente administrada para crear bases de datos MySQL, PostgreSQL y SQL Server para aplicaciones basadas en la nube.
La cadena de ataque de múltiples etapas identificada por Dig, aprovechó una brecha en la capa de seguridad de la plataforma en la nube asociada con SQL Server para escalar los privilegios de un usuario a un rol de administrador. Posteriormente, los permisos elevados permitieron abusar de otra configuración errónea crítica para obtener derechos de administrador del sistema y tomar el control total del servidor de la base de datos.
A partir de ahí, un actor de amenazas podría acceder a todos los archivos alojados en el sistema operativo subyacente, enumerar archivos y extraer contraseñas, que luego podrían actuar como una plataforma de lanzamiento para futuros ataques.
VMware publica vulnerabilidad de NSX-T
VMware ha publicado 1 nuevo aviso de seguridad que contempla 1 vulnerabilidad de severidad Media. Esta falla afecta a los siguientes productos:
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 22 al 28 de mayo de 2023:
Objetivos observados durante semana de análisis:
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Tipo | Indicador |
---|---|
Blackcat | - |
hash | c0e70e69d8f7432383fa37528cd... |
hash | 46daafc57c385a2d0b5516c058e... |
BlackBasta | - |
hash | c61a3b75e95ea37acb0d7653126... |
JackalControl | - |
hash | 2d09a6d46dc12caa55f91cb09ea... |
hash | 956b7a76a15eeaac0ac9378bb79... |
hash | c94d6ebc80f5dae5280543bd9c0... |
hash | e0829090a2a09d6128f74947d16... |
hash | 02e359d6faa49f85d21f73f2800... |
hash | 31139EE6C6F068CD0BEA167D85B... |
JackalSteal | - |
hash | BAE010D5AB05293676EEDD4C491... |
JackalWorm | - |
hash | 6075A04A5EC55BE33AB060660B3... |
JackalPerInfo | - |
hash | 34899F9D2255AEABC2ED94B35A0... |
JackalScreenWatcher | - |
hash | BA93551F1169EAB763D637B04E0... |