El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
El ataque del ransomware contra Point32Health expuso información de 2,5 millones de personas
En abril de 2023, la aseguradora de salud sin fines de lucro Point32Health, desconectó los sistemas en respuesta a un ataque de ransomware que tuvo lugar el 17 de abril. La aseguradora inició de inmediato una investigación sobre el incidente con la ayuda de expertos en ciberseguridad de terceros para determinar el alcance del incidente.
Point32Health reveló que los actores de amenazas extrajeron datos de los sistemas Harvard Pilgrim entre el 28 de marzo de 2023 y el 17 de abril de 2023. La compañía notificó al Departamento de Salud y Servicios Humanos de EE. UU. que la información de más de 2,55 millones de personas se vio comprometida en el ataque de ransomware, informó SecurityWeek. Hasta el momento, ningún grupo de ransomware se ha adjudicado el ataque.
Los datos robados incluyen nombres, direcciones, números de teléfono, fechas de nacimiento, números de Seguro Social, información de la cuenta del seguro médico, números de identificación del contribuyente e información clínica, incluido el historial médico, diagnósticos y detalles del tratamiento.
BlackSuit, la nueva variante de ransomware para Linux, muestra sorprendentes similitudes con Royal
BlackSuit salió a la luz por primera vez a principios de mayo de 2023 cuando la Unit42 de Palo Alto Networks llamó la atención sobre su capacidad para apuntar a hosts Windows y Linux. En línea con otros grupos de ransomware, ejecuta un esquema de doble extorsión que roba y cifra datos confidenciales en una red comprometida a cambio de una compensación monetaria. Los datos asociados con una sola víctima se han incluido en su sitio de fugas en la dark web.
Trend Micro, que examinó una versión x64 de VMware ESXi dirigida a máquinas Linux, dijo que identificó un "grado extremadamente alto de similitud" entre Royal y BlackSuit.
"De hecho, son casi idénticos, con un 98 % de similitudes en las funciones, un 99,5 % de similitudes en los bloques y un 98,9 % de similitudes en los saltos basados en BinDiff, una herramienta de comparación de archivos binarios", señalaron los investigadores de Trend Micro .
Hackers de Dark Pink continúan apuntando a organizaciones gubernamentales y militares
El grupo de amenazas APT ha estado activo desde al menos mediados de 2021, apuntando principalmente a entidades en la región de Asia-Pacífico, pero fue expuesto por primera vez en enero de 2023 por un informe de Group-IB. Los investigadores informan que después de analizar signos de actividad previa por parte del actor de amenazas, ahora descubrieron infracciones adicionales contra un instituto educativo en Bélgica y un cuerpo militar en Tailandia.
En los ataques recientes, Dark Pink mostró una cadena de ataque renovada, implementó diferentes mecanismos de persistencia e implementó nuevas herramientas de exfiltración de datos, probablemente intentando esquivar la detección al distanciar sus operaciones de los IoC (indicadores de compromiso) disponibles públicamente.
Los ataques de Dark Pink continúan utilizando archivos ISO enviados a través de spear-phishing para la infección inicial, que emplea la carga lateral de DLL para lanzar sus puertas traseras exclusivas, 'TelePowerBot' y 'KamiKakaBot'.
Un grupo de APT apunta a dispositivos iOS con exploits de cero clics
Investigadores de la firma rusa Kaspersky han descubierto un grupo APT previamente desconocido que apunta a dispositivos iOS con exploits de cero clics como parte de una campaña de larga duración denominada Operación Triangulación.
Los expertos descubrieron el ataque mientras monitoreaban el tráfico de red de su propia red Wi-Fi corporativa dedicada a dispositivos móviles usando Kaspersky Unified Monitoring and Analysis Platform (KUMA).
Según los investigadores de Kaspersky, la Operación Triangulación comenzó al menos en 2019 y aún continúa.
“Los objetivos se infectan mediante exploits sin clic a través de la plataforma iMessage, y el malware se ejecuta con privilegios de root, obteniendo un control total sobre el dispositivo y los datos del usuario”, se lee en el análisis publicado por Kaspersky.
El exploit utilizado en el ataque descarga varias etapas posteriores del servidor C2, incluidos exploits adicionales para la escalada de privilegios. La carga útil final se descarga desde el mismo C2 y Kaspersky la describe como una plataforma APT con todas las funciones.
Un nuevo kit de phishing 'File Archivers in the Browser' abusa de los dominios ZIP
Un nuevo kit de phishing 'File Archivers in the Browser' abusa de los dominios ZIP al mostrar ventanas falsas de WinRAR o Windows File Explorer en el navegador para convencer a los usuarios de ejecutar archivos maliciosos.
El investigador de seguridad mr.d0x ha desarrollado un kit de herramientas de phishing inteligente que le permite crear instancias falsas de WinRar en el navegador y Windows del Explorador de archivos que se muestran en dominios ZIP para engañar a los usuarios haciéndoles creer que están abiertos en un archivo .zip.
"Con este ataque de phishing, simula un software de archivado de archivos (por ejemplo, WinRAR) en el navegador y usa un dominio .zip para que parezca más legítimo", explica una nueva publicación de blog del investigador.
mr.d0x explica que este kit de herramientas de phishing se puede usar tanto para el robo de credenciales como para la entrega de malware.
Por ejemplo, si un usuario hace doble clic en un PDF en la ventana falsa de WinRar, podría redirigir al visitante a otra página solicitando sus credenciales de inicio de sesión para ver correctamente el archivo.
El kit de herramientas también se puede usar para entregar malware al mostrar un archivo PDF que descarga un archivo ejecutable con un nombre similar cuando se hace clic en él. Por ejemplo, la ventana de archivo falso podría mostrar un archivo document[.]pdf, pero cuando se hace clic, el navegador descarga document[.]pdf[.]exe.
El malware QBot abusa de Windows WordPad EXE para infectar dispositivos
QBot, también conocido como Qakbot, es un malware de Windows que inicialmente comenzó como un troyano bancario, pero evolucionó hasta convertirse en un malware dropper. Los grupos de ransomware, incluidos Black Basta, Egregor y Prolock, se han asociado con la operación de malware para obtener acceso inicial a las redes corporativas para realizar ataques de extorsión.
La operación de malware QBot ha comenzado a abusar de una falla de secuestro de DLL en el programa WordPad de Windows 10 para infectar computadoras, utilizando el programa legítimo para evadir la detección por parte del software de seguridad.
El secuestro de DLL es cuando un actor de amenazas crea un DLL malicioso con el mismo nombre que uno legítimo y lo coloca en la ruta de búsqueda inicial de Windows, generalmente en la misma carpeta que el ejecutable. Cuando se inicie ese ejecutable, cargará la DLL de malware en lugar de la legítima y ejecutará cualquier comando malicioso dentro de ella.
Nueva Botnet de malware Horabot apuntando a usuarios de LATAM
Se ha evidenciado en una investigación del 1 de junio de Talos, una nueva campaña de malware denominada Horabot, que tiene como foco principal usuarios de habla hispana, buscando comprometer las cuentas de correo electrónico como: Yahoo, Gmail y Outlook.
Horabot es un malware de la categoría de troyano bancario que permite a los actores de amenaza tomar el control de los buzones de correo electrónico de las víctimas para distribuir correos de phishing y extender su alcance.
CISA advierte sobre el día cero de Barracuda parcheado recientemente
CISA advirtió sobre una vulnerabilidad de día cero recientemente parcheada que se explotó para vulnerar los dispositivos Barracuda Email Security Gateway (ESG).
La agencia de ciberseguridad de EE.UU. también agregó el error (CVE-2023-2868) a su catálogo de fallas de seguridad explotadas en función de su naturaleza y esta evidencia de explotación activa.
“Según nuestra investigación hasta la fecha, hemos identificado que la vulnerabilidad resultó en el acceso no autorizado a un subconjunto de dispositivos de puerta de enlace de correo electrónico", dijo Barracuda, agregando que "Como parte de nuestra estrategia de contención, todos los dispositivos ESG recibieron un segundo parche el 21 de mayo de 2023".
Zero-Day en MOVEit explotado para robar datos de organizaciones
Progress Software advirtió el 31 de mayo que su software de transferencia de archivos administrados (MFT) MOVEit Transfer está afectado por una vulnerabilidad de inyección SQL crítica que puede ser explotada por un atacante no autenticado para acceder a las bases de datos de MOVEit Transfer.
“Dependiendo del motor de base de datos que se utilice (MySQL, Microsoft SQL Server o Azure SQL), un atacante puede inferir información sobre la estructura y el contenido de la base de datos además de ejecutar declaraciones SQL que alteran o eliminan elementos de la base de datos”. dijo el vendedor.
El aviso de Progress es confuso, ya que afirma que la empresa está trabajando en parches, pero también enumera las versiones actualizadas que deberían solucionar el problema de seguridad. Los parches deben incluirse en las versiones 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) y 2023.0.1 (15.0.1) . La versión en la nube del producto también parece verse afectada.
El aviso de la compañía no establece claramente que la vulnerabilidad se haya explotado en la naturaleza, pero les dice a los clientes que la aplicación de parches es extremadamente importante y proporciona indicadores de compromiso (IoC) asociados con los ataques observados.
Un identificador CVE está en proceso de ser asignado a la vulnerabilidad.
Nueva vulnerabilidad de VMware afecta a varios de sus productos
VMware ha publicado 1 nuevo aviso de seguridad que contempla 1 vulnerabilidad de severidad Media. Esta falla afecta a productos como:
CVE-2023-20884 [CVSSv3: 6.1]
Vulnerabilidad Insecure Redirect
VMware Workspace ONE Access y VMware Identity Manager contienen una vulnerabilidad de redirección insegura. De ser explotada un actor malicioso no autenticado puede redirigir a una víctima a un dominio controlado por un atacante debido al manejo inadecuado de la ruta que conduce a la divulgación de información confidencial. Esta vulnerabilidad se ve afectada en sistemas Linux y/o Windows.
Vulnerabilidad de DoS afecta a OpenSSL
OpenSSL ha publicado 1 nuevo aviso de seguridad que contempla 1 vulnerabilidad Media que afecta a sus versiones 3.0, 3.1, 1.1.1 y 1.0.2.
CVE-2023-2650
Posible DoS traduciendo object identifier ASN.1
Las aplicaciones que usan OBJ_obj2txt() directamente o cualquiera de los subsistemas OpenSSL OCSP, PKCS7/SMIME, CMS, CMP/CRMF o TS sin límite de tamaño de mensaje pueden experimentar retrasos notables o muy largos al procesar esos mensajes, lo que puede dar lugar a una denegación de servicio.
Un object identifier se compone de una serie de números y sub identificadores, la mayoría de los cuales no tienen límite de tamaño. OBJ_obj2txt() se puede usar para traducir un object identifier ASN.1 dado en formato de codificación DER (usando el tipo OpenSSL ASN1_OBJECT) a su formato de texto numérico canónico, que son los sub identificadores del object identifier en formato decimal, separados por puntos .
Cuando uno de los sub identificadores en el object identifier es muy grande (estos son tamaños que se consideran absurdamente grandes, ocupando decenas o cientos de KiB), la traducción a un número decimal en el texto puede llevar mucho tiempo, lo que se consideraría como un posible DoS.
Las correcciones para esta vulnerabilidad se han aplicado en las siguientes versiones, entendiendo que OpenSSL 3.0.x y 3.1.x son vulnerables a este problema. En cambio los usuarios de OpenSSL 1.1.1 y 1.0.2 pueden verse afectados por este problema al llamar a OBJ_obj2txt() directamente.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 5 al 11 de junio de 2023:
Objetivos observados durante semana de análisis:
DEFCON 1
DEFCON 2
DEFCON 3
DEFCON 4
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: