ENTEL Weekly Threat Intelligence Brief del 12 de junio al 18 de junio de 2023

19 Junio 2023

Alto

Amenaza

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

Extorsiones de Ransomware Lockbit alcanzan los 91 millones de dólares en EE.UU, desde enero del 2020 hasta la actualidad
Un 30% de los documentos filtrados al Ejército de Chile han sido subastados por los ciber actores detrás de Rhysida Ransomware
Comisión Nacional de Valores de Argentina, fue víctima de Ransomware Medusa
Zero-Day de VMware está siendo explotado por Hackers Chinos
Microsoft descubrió un nuevo grupo de ciber actores de origen Ruso bautizado como “Cadet Blizzard”
Vulnerabilidad en Barracuda Email Security Gateway, estaría siendo explotada por UNC4841
Ciber actores utilizan “BatCloak” un motor de ofuscación altamente indetectable
Repositorios de Github estarian siendo usados para propagar malware a través de perfiles de investigadores falsos
El troyano GravityRAT para Android, se hace presente con nuevas actualizaciones
Nueva backdoor para Linux llamada ChamelDoH utiliza túneles DNS sobre HTTPS
Más de 6000 sitios falsos están siendo utilizados en campaña masiva de phishing que suplanta a distintas marcas del retail
Nuevo malware de tipo infostealer llamado Mystic, está siendo altamente promocionado en foros clandestinos
Falla crítica de RCE en dispositivos FortiGate SSL-VPN
Vulnerabilidad crítica afecta al ShareFile Storage Zones controller de Citrix
Complementos de Jenkins se ven afectados por nuevas vulnerabilidades
Patch Day SAP – Junio 2023
Siemens publica vulnerabilidades que afectan a sus productos
Patch Tuesday Microsoft de Junio, corrige 78 vulnerabilidades
Palo Alto informa dos nuevas vulnerabilidades en sus productos
Vulnerabilidad afecta a FotiOS y FortiProxy
Investigadores descubren una tercera vulnerabilidad en MOVEit, tras ataques de ransomware Cl0p

Extorsiones de Ransomware Lockbit alcanzan los 91 millones de dólares en EE.UU , desde enero 2020 hasta la actualidad

Como ya es conocido, Lockbit es uno de los grupos de ransomware que está en el top 3 en cuanto a la cantidad de ataques a nivel global que han realizado, la gran mayoría de las víctimas de estos ataques están geolocalizados en EE.UU.

Un factor importante para que este grupo de ciber actores tenga tanto alcance a nivel mundial es su servicio RaaS (Ransomware as a Service) en donde sus afiliados pagan una membresía por utilizar y distribuir su malware, en caso una víctima pague por un rescate, los beneficios son divididos tanto para el afiliado como para los administradores del grupo. Este esquema de trabajo hace que exista una amplia red de ciber actores realizando ataques muy variados y muchas veces simultáneos en distintos puntos del mundo.

CISA ha publicado un boletín en donde dan a conocer más detalles sobre LockBit que incluye información muy relevante como:

Reclutamiento de afiliados
Línea de tiempo con su evolución que data desde el 2020
Estadísticas con los países más atacados
Pagos efectuados por las víctimas que ascienden a la suma de 91 millones de dólares aproximadamente
Cepas del malware distribuidas desde julio del 2020 a la fecha
Herramientas utilizadas por el grupo para realizar sus ataques
Vulnerabilidades que han explotado
Las distintas TTP´s de MITRE detectadas

Un 30% de los documentos filtrados al Ejército de Chile han sido subastados por los ciber actores detrás de Rhysida Ransomware

A la fecha han transcurrido más de 20 días desde que el pasado 29 de mayo se dió a conocer públicamente la ocurrencia de un ciberataque que afectó al Ejército de Chile, una de las tres ramas de las FF.AA Chilenas.

En el sitio de la Dark Web que disponibilizaron los ciber actores detrás de Rhysida ransomware muestran imágenes de evidencia con la información que estaría siendo vendida clandestinamente, según este portal a la fecha se ha subastado un 30% del total de la información y entre estos datos expuestos figuran documentos clasificados como mapas, coordenadas geográficas, cédulas de identidad entre otros.

Por el momento la investigación continúa en busca de los responsables de este hackeo, actualmente se habla de un Insider (persona perteneciente a una organización que ejecuta un ataque internamente con fines maliciosos o por desconocimiento) que podría haber distribuido el malware internamente afectando los sistemas, pero a la fecha esta información no está del todo confirmada.

El medio de comunicación local “biobiochile.cl” ha publicado más información sobre esta noticia, para ello accede al siguiente enlace.

Comisión Nacional de Valores de Argentina, fue víctima de Ransomware Medusa

La Comisión de Valores de Argentina es el organismo encargado de regular el mercado de capitales y el pasado 11 de junio a través de un comunicado informaron que fueron víctimas de un ataque de tipo ransomware que afectó a su infraestructura.

Según informaron los datos sustraídos y cifrados son de carácter público.

Por otro lado los ciber actores detrás de Medusa están exigiendo un rescate de 500 mil dólares en bitcoin por la información secuestrada y la no divulgación de los 1.5 terabytes que dicen poseer.

En América Latina Medusa ha sido responsable del ataque a varias empresas de distintos rubros, estas campañas han afectado a Argentina, Bolivia, Brasil, Colombia, República Dominicana y también en nuestro país el pasado mes de abril.

Según el sitio en la Dark Web el plazo entregado por los ciber actores para efectuar el pago se concreta hoy .

Zero-Day de VMware está siendo explotado por Hackers Chinos

Un grupo de hackers chinos patrocinado por el estado de ese país y conocido como UNC3886 estarían explotando una vulnerabilidad de día cero en VMware ESXi para implantar una backdoor en sistemas Linux y Windows. Se estima que estos ciber actores son altamente expertos y enfocan sus ataques principalmente en sectores de defensa, tecnología y telecomunicaciones en EE.UU, Japón y Asia-Pacífico.

Según un informe creado por Mandiant, los ciber actores Chinos estarían utilizando nuevas técnicas para saltar las detecciones de los EDR.

Estos ciberactores estarían explotando la vulnerabilidad asociada al CVE-2023-20867, que si bien posee severidad baja, podría permitir a un atacante ejecutar operaciones de invitado con permisos privilegiados en máquinas virtuales invitadas de ESXi comprometidas sin la necesidad de autenticarse.

Los únicos requisitos necesarios para explotar esta vulnerabilidad serían:

Que el atacante tenga acceso a una cuenta privilegiada (como root o vpxuser) al host ESXi
Que la máquina invitada de destino tenga instalado el software VMware Tools

Microsoft descubrió un nuevo grupo de ciber actores de origen Ruso bautizado como “Cadet Blizzard”

Según investigadores de Threat Intelligence de Microsoft este grupo estaría vinculado a la Dirección de Inteligencia del Estado Mayor Ruso (GRU).

La primera aparición de este grupo data desde enero del 2022 y en aquel entonces fue relacionado con actividades cibernéticas destructivas contra Ucrania utilizando un malware llamado WhisperGate o PayWipe, esto sucedió previamente a la invasión rusa contra Ucrania.

Las intenciones que tendría este grupo de ciber actores serían las siguientes:

Causar interrupción en los sistemas
Destrucción de información
Recopilación de información
Espionaje

Según Microsoft este grupo de ciber actores ha estado detrás de ataques destructivos y de espionaje en los continentes Europeo, Asia Central, y América Latina, miembros de la OTAN, atacando a sectores de gobierno, fuerzas de orden público, proveedores de servicio de TI, servicios de emergencia y organizaciones sin fines de lucro.

Los ataques que realizan están enfocados en explotar fallos conocidos de seguridad a través de servidores expuestos de Atlassian Confluence y Microsoft Exchange Server como también sistemas de administración de contenido.

Vulnerabilidad en Barracuda Email Security Gateway, estaría siendo explotada por UNC4841

Esta campaña estaría siendo orquestada por actores de amenaza de origen Chino, quienes habían estado explotando vulnerabilidades de día cero sobre el sistema ESG (Email Security Gateway) de Barracuda.

La vulnerabilidad fue reportada bajo el CVE-2023-2868 con una puntuación de gravedad CVSS: 9.8 Crítica relacionada con la inyección remota de código que afecta a las versiones 5.1.3.001 a la 9.2.0.006 y desencadena una validación incompleta de los archivos adjuntos entregados en correos electrónicos entrantes. Para más detalles de esta vulnerabilidad visita nuestro boletín Portal CCI.

Barracuda instó a los administradores de estos sistemas a retirar estos equipos de línea y efectuar un reemplazo de los dispositivos afectados.

Según las investigaciones preliminares los ciber actores enviaron correos electrónicos maliciosos a sus víctimas con archivos adjuntos [.]TAR diseñados especialmente para explotar el fallo desde al menos el 10 de octubre del 2022.

UNC4841 es considerado un actor de amenaza persistente, ya que poseen la capacidad para modificar su malware y emplear mecanismos de ocultamiento y persistencia adicionales, esto se vio reflejado por el grupo de expertos cuando Barracuda inició los protocolos de contención el 19 de mayo del 2023.

Ciber actores utilizan “BatCloak” un motor de ofuscación altamente indetectable

BatCloak es un motor de ofuscación utilizado para camuflar malware evadiendo la detección de los antivirus y que ha estado siendo utilizado para implementar distintas cepas de malware desde septiembre del 2022.

En una investigación liderada por Trend Micro detectaron que de 784 piezas de malware el 79,6% no eran detectados por los motores antimalware tradicionales.

BatCloak ha recibido numerosas actualizaciones y adaptaciones por parte de sus desarrolladores y ya posee una nueva versión llamada ScrubCrypy siendo compatible con los troyanos más utilizados como Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT y Warzone RAT.

Repositorios de Github estarian siendo usados para propagar malware a través de perfiles de investigadores falsos

Investigadores de VulnCheck han disponibilizado un informe en el cual han detectado al menos 7 perfiles falsos en Github que propagan malware en sus repositorios públicos. Estos dicen contener POC (Pruebas de Concepto) de exploit de día cero de fallos en Discord, Google Chrome, Microsoft Exchange Server respectivamente.

Incluso estos perfiles estarían ligados a cuentas de Twitter para hacerlos más creíbles a sus visitantes (víctimas). También utilizaban fotografías de investigadores de seguridad reales de Rapid7.

El código proporcionado en estos repositorios es un script en Python que está programado para descargar un archivo malicioso para sistemas operativos Windows y Linux.

Este hallazgo insta a tener la precaución necesaria al momento de buscar información en repositorios públicos, verificando bien lo que se está descargando o ejecutando objeto no se vea comprometida la seguridad del visitante.

El troyano GravityRAT para Android, se hace presente con nuevas actualizaciones

Para los investigadores de amenaza GravityRAT no es nuevo, sus primeras detecciones datan del año 2015, pero actualmente posee nuevas y mejores capacidades en las que puede filtrar copias de seguridad de WhatsApp y recibir comandos remotamente para eliminar archivos en los dispositivos móviles.

Eset analizó una nueva versión que fue llamada BingeChat y está relacionada con servicios de mensajería gratuitos que están siendo distribuidos a través de una aplicación legítima de código abierto llamada OMEMO Instant Messenger para Android.

Un punto importante a considerar es que esta aplicación nunca estuvo disponible en Google Play, sino directamente desde un sitio web montado en WordPress.

Las capacidades de exfiltración que posee GravityRAT son las siguientes:

Registro de llamadas
Lista de contactos
Mensajes SMS
Archivos con extensiones específicas: jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18, crypt32 (archivos encriptados con copias de seguridad creadas por WhatsApp Messenger)
Ubicación del dispositivo
Información básica del dispositivo

Nueva backdoor para Linux llamada ChamelDoH utiliza túneles DNS sobre HTTPS

Esta herramienta está basada en C++ para comunicarse a través de túneles DNS sobre HTTPS.

Sus principales objetivos son las industrias de producción de combustible, energía y aviación en Rusia, EE. UU., India, Nepal, Taiwán y Japón.

Para obtener acceso inicial a sus víctimas se aprovecha de vulnerabilidades en los servidores de Microsoft Exchange y la aplicación Red Hat JBoss Enterprise.

Las capacidades que posee esta backdoor en Linux son:

Capturar información del sistema
Realizar operaciones de acceso remoto
Carga, descarga y eliminar archivos
Ejecutar comandos de shell.

Para comunicarse con su C&C este backdoor utiliza DoH (DNS over HTTPS) esto beneficia al actor de amenazas ya que este tipo de comunicaciones no pueden ser interceptadas debido al uso del protocolo HTTPS. El uso de este tipo de comunicaciones evita que las soluciones de seguridad puedan detectar y bloquear solicitudes DoH maliciosas convirtiéndolas en un canal encriptado legítimo entre el equipo infectado y el servidor de C&C.

Más de 6000 sitios falsos están siendo utilizados en campaña masiva de phishing que suplanta a distintas marcas del retail

Esta campaña ha estado presente en distintos países incluyendo Chile, es así como el CSIRT del Gobierno constantemente está publicando estos ataques en su sección de alertas a distintas marcas del retail nacional y extranjero. Se estima que esta campaña está activa desde junio del 2022 teniendo un peak entre noviembre del 2022 y febrero del 2023.
Entre algunas de las marcas notables que están siendo suplantadas se encuentran Nike, Puma, Adidas, Casio, Salomón, Tommy Hilfigher, Caterpillar, New Balance, Fila, Vans, O'NEILL, Reebok, Columbia, The North Face, entre otras.

En cuanto a la motivación detrás de esta campaña está el beneficio económico, estos ciber actores explotan la confianza asociada con las marcas de renombre para engañar a los compradores desprevenidos que utilicen sus credenciales válidas en sitios falsos, en lugar de entregar los productos prometidos, nunca envían nada o envían imitaciones de baja calidad provenientes de los mercados chinos.

Para evitar ser víctima de estos ciber actores es primordial la conciencia y buenas prácticas al navegar en internet y realizar compras en línea, cerciorándose visualmente que el sitio corresponde al oficial, hay ocasiones en que tan solo cambiando una letra, símbolo o número engañan a los clientes desprevenidos.

Nuevo malware de tipo infostealer llamado Mystic, está siendo altamente promocionado en foros clandestinos

Los malware de familia Infostealer son utilizados para el robo de información tras el compromiso de un equipo informático. Actualmente en sitios clandestinos de la de la Darknet se ha estado promocionando “Mystic Stealer“ desde abril del presente año debutando con la versión 1.0, actualmente a fines de mayo lanzaron la versión 1.2 y están ganando terreno sobre otros infostealer similares. El precio que se están cobrando estos ciberactores por utilizar estas herramientas maliciosas oscila entre 150 dólares al mes o 390 dólares por trimestre, este infostealer posee las siguientes capacidades:

Puede ser utilizado en la mayoría de los navegadores existentes (40 app.)
Utiliza 70 extensiones de navegadores
Posee presencia en 21 aplicaciones de criptomonedas
Funciona sobre 9 aplicaciones de administración de contraseñas
Puede capturar credenciales de Steam y Telegram entre otras funcionalidades

Según sus desarrolladores este malware puede vulnerar todas las versiones de Windows incluidas desde XP hasta Windows 11 admitiendo arquitecturas de 32 y 64 bits. También posee un módulo anti sanboxing para evitar la detección.

Para conocer más detalles sobre las capacidades de este malware puedes visitar el siguiente enlace de Bleepingcomputer.

Falla crítica de RCE en dispositivos FortiGate SSL-VPN

El día 11 de junio el investigador Charles Fol dio a conocer información adicional a través de su cuenta de Twitter, revelando que efectivamente estos nuevos parches estarían destinados a corregir la vulnerabilidad bajo el CVE-2023-27997. Fué así como Fortinet ha lanzado nuevos parches de seguridad para su sistema operativo FortiOS. Debemos recordar que este sistema está presente tanto en firewalls FortiGate como también en otros dispositivos de la marca.

En distintos sitios que hablan sobre ciberseguridad y vulnerabilidades, fue abordada esta noticia informando además, que estas nuevas versiones vendrían a solucionar un fallo de forma oculta, relacionado con ejecución remota de código RCE, la cual no requiere que un atacante inicie sesión para explotarlo.

Esta vulnerabilidad fue parchada el día 13 de junio en una actualización de vulnerabilidad crítica emitida por Fortinet.

Vulnerabilidad crítica afecta al ShareFile Storage Zones controller de Citrix

Se descubrió una vulnerabilidad bajo el CVE-2023-24489 en el ShareFile Storage Zones controller administrado por el cliente que si es explotado, podría permitir que un atacante no autenticado comprometa de forma remota el ShareFile Storage Zones controller administrado por el cliente.

Esta vulnerabilidad afecta a todas las versiones admitidas actualmente del ShareFile Storage Zones controller administrado por el cliente antes de la versión 5.11.24.

Los clientes que utilizan ShareFile Storage Zones controller en la nube no necesitan realizar ninguna acción.

Complementos de Jenkins se ven afectados por nuevas vulnerabilidades

Jenkins ha publicado un nuevo aviso de seguridad que contempla 12 vulnerabilidades, donde 5 de ellas son altas y 7 medias.

Las vulnerabilidades de criticidad alta son las siguientes:

CVE-2023-35141 Vulnerabilidad de omisión de CSRF

CVE-2023-35143, CVE-2023-35144 Vulnerabilidad XSS almacenada en el complemento Maven Repository Server

CVE-2023-35145 Vulnerabilidad XSS almacenada en el complemento de integración de Sonargraph

CVE-2023-35146 Vulnerabilidad XSS almacenada en el complemento de flujos de trabajo de plantilla