ENTEL Weekly Threat Intelligence Brief del 29 de mayo al 4 de junio de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Hackers de Dark Pink continúan apuntando a organizaciones gubernamentales y militares
• Un grupo de APT apunta a dispositivos iOS con exploits de cero clics
• Un nuevo kit de phishing 'File Archivers in the Browser' abusa de los dominios ZIP
• El malware QBot abusa de Windows WordPad EXE para infectar dispositivos
• BlackSuit, la nueva variante de ransomware para Linux, muestra sorprendentes similitudes con Royal
• El ataque del ransomware contra Point32Health expuso información de 2,5 millones de personas
• CISA advierte  sobre el día cero de Barracuda parcheado recientemente
• Nueva vulnerabilidad de VMware afecta a varios de sus productos
• Vulnerabilidad de DoS afecta a OpenSSL
• Zero-Day en MOVEit explotado para robar datos de organizaciones

El ataque del ransomware contra Point32Health expuso información de 2,5 millones de personas

En abril de 2023, la aseguradora de salud sin fines de lucro Point32Health, desconectó los sistemas en respuesta a un ataque de ransomware que tuvo lugar el 17 de abril. La aseguradora inició de inmediato una investigación sobre el incidente con la ayuda de expertos en ciberseguridad de terceros para determinar el alcance del incidente.

Point32Health reveló que los actores de amenazas extrajeron datos de los sistemas Harvard Pilgrim entre el 28 de marzo de 2023 y el 17 de abril de 2023. La compañía notificó al Departamento de Salud y Servicios Humanos de EE. UU. que la información de más de 2,55 millones de personas se vio comprometida en el ataque de ransomware, informó SecurityWeek. Hasta el momento, ningún grupo de ransomware se ha adjudicado el ataque. 

Los datos robados incluyen nombres, direcciones, números de teléfono, fechas de nacimiento, números de Seguro Social, información de la cuenta del seguro médico, números de identificación del contribuyente e información clínica, incluido el historial médico, diagnósticos y detalles del tratamiento.

BlackSuit, la nueva variante de ransomware para Linux, muestra sorprendentes similitudes con Royal

BlackSuit salió a la luz por primera vez a principios de mayo de 2023 cuando la Unit42 de Palo Alto Networks llamó la atención sobre su capacidad para apuntar a hosts Windows y Linux. En línea con otros grupos de ransomware, ejecuta un esquema de doble extorsión que roba y cifra datos confidenciales en una red comprometida a cambio de una compensación monetaria. Los datos asociados con una sola víctima se han incluido en su sitio de fugas en la dark web.

Trend Micro, que examinó una versión x64 de VMware ESXi dirigida a máquinas Linux, dijo que identificó un "grado extremadamente alto de similitud" entre Royal y BlackSuit.

"De hecho, son casi idénticos, con un 98 % de similitudes en las funciones, un 99,5 % de similitudes en los bloques y un 98,9 % de similitudes en los saltos basados ​​en BinDiff, una herramienta de comparación de archivos binarios", señalaron los investigadores de Trend Micro .

Hackers de Dark Pink continúan apuntando a organizaciones gubernamentales y militares 

El grupo de amenazas APT ha estado activo desde al menos mediados de 2021, apuntando principalmente a entidades en la región de Asia-Pacífico, pero fue expuesto por primera vez en enero de 2023 por un informe de Group-IB. Los investigadores informan que después de analizar signos de actividad previa por parte del actor de amenazas, ahora descubrieron infracciones adicionales contra un instituto educativo en Bélgica y un cuerpo militar en Tailandia.

En los ataques recientes, Dark Pink mostró una cadena de ataque renovada, implementó diferentes mecanismos de persistencia e implementó nuevas herramientas de exfiltración de datos, probablemente intentando esquivar la detección al distanciar sus operaciones de los IoC (indicadores de compromiso) disponibles públicamente. 

Los ataques de Dark Pink continúan utilizando archivos ISO enviados a través de spear-phishing para la infección inicial, que emplea la carga lateral de DLL para lanzar sus puertas traseras exclusivas, 'TelePowerBot' y 'KamiKakaBot'.

Un grupo de APT apunta a dispositivos iOS con exploits de cero clics

Investigadores de la firma rusa Kaspersky han descubierto un grupo APT previamente desconocido que apunta a dispositivos iOS con exploits de cero clics como parte de una campaña de larga duración denominada Operación Triangulación.

Los expertos descubrieron el ataque mientras monitoreaban el tráfico de red de su propia red Wi-Fi corporativa dedicada a dispositivos móviles usando Kaspersky Unified Monitoring and Analysis Platform (KUMA).

Según los investigadores de Kaspersky, la Operación Triangulación comenzó al menos en 2019 y aún continúa.

“Los objetivos se infectan mediante exploits sin clic a través de la plataforma iMessage, y el malware se ejecuta con privilegios de root, obteniendo un control total sobre el dispositivo y los datos del usuario”, se lee en el análisis publicado por Kaspersky.

El exploit utilizado en el ataque descarga varias etapas posteriores del servidor C2, incluidos exploits adicionales para la escalada de privilegios. La carga útil final se descarga desde el mismo C2 y Kaspersky la describe como una plataforma APT con todas las funciones.

Un nuevo kit de phishing 'File Archivers in the Browser' abusa de los dominios ZIP

Un nuevo kit de phishing 'File Archivers in the Browser' abusa de los dominios ZIP al mostrar ventanas falsas de WinRAR o Windows File Explorer en el navegador para convencer a los usuarios de ejecutar archivos maliciosos.

El investigador de seguridad  mr.d0x  ha desarrollado un kit de herramientas de phishing inteligente que le permite crear instancias falsas de WinRar en el navegador y Windows del Explorador de archivos que se muestran en dominios ZIP para engañar a los usuarios haciéndoles creer que están abiertos en un archivo .zip.

"Con este ataque de phishing, simula un software de archivado de archivos (por ejemplo, WinRAR) en el navegador y usa un dominio .zip para que parezca más legítimo", explica una  nueva publicación de blog  del investigador.

mr.d0x explica que este kit de herramientas de phishing se puede usar tanto para el robo de credenciales como para la entrega de malware.

Por ejemplo, si un usuario hace doble clic en un PDF en la ventana falsa de WinRar, podría redirigir al visitante a otra página solicitando sus credenciales de inicio de sesión para ver correctamente el archivo.

El kit de herramientas también se puede usar para entregar malware al mostrar un archivo PDF que descarga un archivo ejecutable con un nombre similar cuando se hace clic en él. Por ejemplo, la ventana de archivo falso podría mostrar un archivo document[.]pdf, pero cuando se hace clic, el navegador descarga document[.]pdf[.]exe.

El malware QBot abusa de Windows WordPad EXE para infectar dispositivos 

QBot, también conocido como Qakbot, es un malware de Windows que inicialmente comenzó como un troyano bancario, pero evolucionó hasta convertirse en un  malware dropper. Los grupos de ransomware, incluidos  Black Basta,  Egregor y  Prolock, se han asociado con la operación de malware para obtener acceso inicial a las redes corporativas para realizar ataques de extorsión.

La operación de malware QBot ha comenzado a abusar de una falla de secuestro de DLL en el programa WordPad de Windows 10 para infectar computadoras, utilizando el programa legítimo para evadir la detección por parte del software de seguridad.

El secuestro de DLL es cuando un actor de amenazas crea un DLL malicioso con el mismo nombre que uno legítimo y lo coloca en la ruta de búsqueda inicial de Windows, generalmente en la misma carpeta que el ejecutable. Cuando se inicie ese ejecutable, cargará la DLL de malware en lugar de la legítima y ejecutará cualquier comando malicioso dentro de ella.

Nueva Botnet de malware Horabot apuntando a usuarios de LATAM

Se ha evidenciado en una investigación del 1 de junio de Talos, una nueva campaña de malware denominada Horabot, que tiene como foco principal usuarios de habla hispana, buscando comprometer las cuentas de correo electrónico como: Yahoo, Gmail y Outlook.

Horabot es un malware de la categoría de troyano bancario que  permite a los actores de amenaza tomar el control de los buzones de correo electrónico de las víctimas para distribuir correos de phishing y extender su alcance. 

CISA advierte  sobre el día cero de Barracuda parcheado recientemente

CISA advirtió sobre una vulnerabilidad de día cero recientemente parcheada que se explotó para vulnerar los dispositivos Barracuda Email Security Gateway (ESG).

La agencia de ciberseguridad de EE.UU. también agregó el error (CVE-2023-2868) a su catálogo de fallas de seguridad explotadas en función de su naturaleza y esta evidencia de explotación activa.

“Según nuestra investigación hasta la fecha, hemos identificado que la vulnerabilidad resultó en el acceso no autorizado a un subconjunto de dispositivos de puerta de enlace de correo electrónico", dijo Barracuda, agregando que "Como parte de nuestra estrategia de contención, todos los dispositivos ESG recibieron un segundo parche el 21 de mayo de 2023".

Zero-Day en MOVEit explotado para robar datos de organizaciones

Progress Software advirtió el 31 de mayo que su software de transferencia de archivos administrados (MFT) MOVEit Transfer está afectado por una vulnerabilidad de inyección SQL crítica que puede ser explotada por un atacante no autenticado para acceder a las bases de datos de MOVEit Transfer.

“Dependiendo del motor de base de datos que se utilice (MySQL, Microsoft SQL Server o Azure SQL), un atacante puede inferir información sobre la estructura y el contenido de la base de datos además de ejecutar declaraciones SQL que alteran o eliminan elementos de la base de datos”. dijo el vendedor. 

El aviso de Progress es confuso, ya que afirma que la empresa está trabajando en parches, pero también enumera las versiones actualizadas que deberían solucionar el problema de seguridad. Los parches deben incluirse en las versiones 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) y 2023.0.1 (15.0.1) . La versión en la nube del producto también parece verse afectada.

El aviso de la compañía no establece claramente que la vulnerabilidad se haya explotado en la naturaleza, pero les dice a los clientes que la aplicación de parches es extremadamente importante y proporciona indicadores de compromiso (IoC) asociados con los ataques observados.

Un identificador CVE está en proceso de ser asignado a la vulnerabilidad. 

Nueva vulnerabilidad de VMware afecta a varios de sus productos

VMware ha publicado 1 nuevo aviso de seguridad que contempla 1 vulnerabilidad de severidad Media. Esta falla afecta a productos como:

• Workspace ONE Access 
• VMware Identity Manager 
• VMware Cloud Foundation (vIDM)

CVE-2023-20884 [CVSSv3: 6.1]
Vulnerabilidad Insecure Redirect 

VMware Workspace ONE Access y VMware Identity Manager contienen una vulnerabilidad de redirección insegura. De ser explotada un actor malicioso no autenticado puede redirigir a una víctima a un dominio controlado por un atacante debido al manejo inadecuado de la ruta que conduce a la divulgación de información confidencial. Esta vulnerabilidad se ve afectada en sistemas Linux y/o Windows.

Vulnerabilidad de DoS afecta a OpenSSL

OpenSSL ha publicado 1 nuevo aviso de seguridad que contempla 1 vulnerabilidad Media que afecta a sus versiones 3.0, 3.1, 1.1.1 y 1.0.2.

CVE-2023-2650
Posible DoS traduciendo object identifier ASN.1 

Las aplicaciones que usan OBJ_obj2txt() directamente o cualquiera de los subsistemas OpenSSL OCSP, PKCS7/SMIME, CMS, CMP/CRMF o TS sin límite de tamaño de mensaje pueden experimentar retrasos notables o muy largos al procesar esos mensajes, lo que puede dar lugar a una denegación de servicio.

Un object identifier se compone de una serie de números y sub identificadores, la mayoría de los cuales no tienen límite de tamaño. OBJ_obj2txt() se puede usar para traducir un object identifier ASN.1 dado en formato de codificación DER (usando el tipo OpenSSL ASN1_OBJECT) a su formato de texto numérico canónico, que son los sub identificadores del object identifier en formato decimal, separados por puntos . 

Cuando uno de los sub identificadores en el object identifier es muy grande (estos son tamaños que se consideran absurdamente grandes, ocupando decenas o cientos de KiB), la traducción a un número decimal en el texto puede llevar mucho tiempo, lo que se consideraría como un posible DoS.

Las correcciones para esta vulnerabilidad se han aplicado en las siguientes versiones, entendiendo que OpenSSL 3.0.x y 3.1.x son vulnerables a este problema. En cambio los usuarios de OpenSSL 1.1.1 y 1.0.2 pueden verse afectados por este problema al llamar a OBJ_obj2txt() directamente. 

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 5 al 11 de junio de 2023:

Objetivos observados durante semana de análisis: 

• Servicios legales y profesionales
• Industrias manufactureras, materiales y minería
• Educación
• Infraestructura tecnológica
• Retail y servicios de consumo
• Banca y Finanzas
• Servicios de salud, sociales y farmacia
• Construcción e inmobiliaria
• Servicios empresariales y comercio
• Transportes y servicios automotrices.
• Defensa y orden público
• Entretenimiento, cultura y arte
• Infraestructura tecnológica - Componentes
• Servicios básicos y sanitarios
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Agricultura, ganadería, silvicultura y pesca - consumo

DEFCON 1

• Servicios legales y profesionales
• Industrias manufactureras, materiales y minería
• Educación
• Infraestructura tecnológica

DEFCON 2

• Retail y servicios de consumo
• Banca y Finanzas
• Servicios de salud, sociales y farmacia
• Construcción e inmobiliaria
• Servicios empresariales y comercio
• Transportes y servicios automotrices.

DEFCON 3


 

• Defensa y orden público
• Entretenimiento, cultura y arte
• Infraestructura tecnológica - Componentes
• Servicios básicos y sanitarios
• Shipment y cadena de suministros

DEFCON 4


 

• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.