El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
BlackCat/ALPHV se adjudica robo de 80GB de datos de Reddit
Reddit anunció que se vio afectado por un ataque de ransomware que permitió a los actores de amenaza obtener acceso no autorizado a documentos internos, código y algunos sistemas comerciales de la compañía. La atribución de esta brecha se adjudica al grupo de ransomware BlackCat/Alphv, quienes hicieron varios intentos de comunicarse con la compañía para solicitar el rescate por los datos robados. Según una publicación observada, el grupo de ransomware tiene en su poder por lo menos 80 GB de datos comprimidos, así mismo, se identificó que el método de acceso inicial fue una campaña masiva de phishing especialmente dirigida a los usuarios de la compañía que imitaba portales web de la intranet de la empresa.
Centro oncológico de EE.UU afectado por ataque de ransomware
De acuerdo al artículo observado, el centro de salud vio reducida su capacidad para el tratamiento del cáncer debido a la baja de sus servicios digitales por un ataque de ransomware por parte del grupo rastreado como TimiSoaraHackerTeam (THT), grupo poco conocido que puede tener conexiones con Europa del Este y China, según firmas de investigación cibernética, además puede estar vinculado a otros grupos de ransomware conocidos como DeepBlueMagic y APT 41.
THT parece aprovecharse herramientas informáticas legítimas como BitLocker, BestCrypt, RPM y vulnerabilidades publicadas en servicios VPN para conseguir el acceso inicial.
Ransomware 8BASE compromete pymes de latinoamérica
De acuerdo a fuentes observadas en la clear y la dark web, se tiene que el grupo de ransomware 8BASE, está orientando sus ataques a pymes de distintos rubros de latinoamérica, hasta el momento de esta nota, se han observado entre los países afectados recientemente por 8BASE; a México con dos empresas del rubro de retail y turismo respectivamente, mientras tanto en Brasil también dos empresas afectadas, una del rubro agropecuario y otra del retail, hasta el momento se desconoce las tácticas técnicas y procedimientos usadas por este grupo para lograr el acceso inicial y comprometer la información de dichas empresas.
Anonymous Sudán se adjudica ataques DDoS masivos contra Azure, Onedrive y Outlook
Microsoft ha anunciado en una investigación a principios de junio del 2023, una actividad DDoS orientada al ataque de la capa 7, a través, de múltiples dispositivos en la nube e infraestructura de proxy abierta o (VPS), que afectó a varios de sus servicios, entre los cuales se mencionan:
De acuerdo a los investigadores de Microsoft, la atribución de la amenazada fue rastreada como Storm-1359, esta designación de nombre temporal se la dan a grupos de hackers no identificados, emergentes o actores de amenaza que están en proceso de ser investigados. Para mas informació de ésta noticia consulte el siguiente boletín:
Grupo APT vinculado a Rusia compromete cliente de correo electrónico Roundcube
APT28 es el grupo de amenaza persistente avanzada que se adjudica la afectación del cliente de correo electrónico open source “Roundcube”; perteneciente a varias organizaciones ucranianas.
De acuerdo a un informe del CERT de Ucrania, el acceso inicial lo obtuvieron a través de la explotación de tres vulnerabilidades de Roundcube; (CVE-2020-35730, CVE-2021-44026, CVE-2020-12641) y mediante la utilización de campañas de phishing dirigidas especialmente con noticias de Ucrania desde el remitente "ukraine_news@meta[.]ua", que contenía un señuelo en forma de artículo de la publicación "NV" (nv[.]ua), así como un exploit para la vulnerabilidad en Roundcube CVE-2020-35730 (XSS) y el código JavaScript correspondiente diseñado para cargar y ejecutar archivos JavaScript adicionales: "q[.]js" y "e[.]js".
Entre los archivos mencionados, "e[.]js" garantiza la creación de un "filtro predeterminado" para redirigir los correos electrónicos entrantes a una dirección de correo electrónico de terceros, y también realiza la exfiltración mediante solicitudes HTTP POST: libreta de direcciones, valores de sesión (Cookie) y mensajes de correo electrónico de la víctima. A su vez, "q[.]js" contiene un exploit para la vulnerabilidad en Roundcube CVE-2021-44026 (SQLi), que se utiliza para extraer información de la base de datos de Roundcube.
Además, se descubrió el código del programa "c[.]js" que contiene un exploit para la vulnerabilidad CVE-2020-12641 y ejecuta comandos en el servidor de correo.
En general, se enviaron correos electrónicos similares a las direcciones de más de 40 organizaciones ucranianas que afectaron a la versión desactualizada de Roundcube (1.4.1).
Grupo APT asociado al estado Indio usa aplicaciones maliciosas de Android para campañas de Spyware
Una investigación de Cyfirma, pone en evidencia tres aplicaciones de Android (Device Basic Plus, nSure Chat e iKHfaa VPN); que están siendo activamente usadas para operaciones de espionaje. La campaña fue atribuida al grupo APT rastreado como DoNot, también conocido como APT-C-35 y SectorE02, que intenta atacar a las víctimas en la región del sur de Asia.
El vector de ataque utilizado en esta campaña por los actores de amenaza corresponde al uso de aplicaciones de Telegram y Whatsapp para atraer a las víctimas e instalar el malware utilizando las aplicaciones maliciosas desde la tienda de Google Play, esto según los investigadores corresponde a la primera etapa de la campaña con foco en obtener información básica de las víctimas para posteriores ataques.
RedEyes grupo APT que apunta a objetivos norcoreanos
De acuerdo a una reciente investigación del 21 de junio del 2023, RedEyes (también conocido como APT37, ScarCruft y Reaper); está llevando a cabo operaciones que comprometen a desertores de Corea del Norte, activistas de derechos humanos y profesores universitarios, su principal enfoque es monitorear activamente a las víctimas a través de la distribución de un programas de tipo Infostealer con funciones de escuchas telefónicas antes desconocida junto con una puerta trasera desarrollada en GoLang que explota la plataforma Ably, esta es una plataforma de transferencia de datos y mensajería en tiempo real. También puede realizar mensajes de publicación/suscripción, notificaciones automáticas, consultas en tiempo real y sincronización de estado.
Grupo APT asociado a China en campaña activa de distribución de malware a través de unidades USB
En una reciente investigación de Checkpoint del 22 de junio del 2023, se pudo evidenciar una nueva campaña de espionaje patrocinada por el estado chino que se enfoca en propagar malware a través de unidades USB infectadas.
La atribución de esta campaña fue rastreada por los investigadores con el nombre de Camaro Dragon, un actor de amenazas de espionaje con sede en China, también conocido como Mustang Panda y LuminousMoth. Si bien su enfoque principal ha sido tradicionalmente los países del sudeste asiático, un reciente compromiso a una institución de atención médica de Europa, revela su alcance global y destaca el papel alarmante que juegan las unidades USB en la propagación de malware, por lo que se deben implementar las medidas pertinentes que sensibilicen a los empleados sobre los peligros potenciales del uso de unidades USB de fuentes desconocidas o no confiables, así mismo la aplicación de las políticas de seguridad sólidas de administración de dispositivos para monitorear y controlar el uso de unidades USB, restringiendo el acceso no autorizado y aplicando los controles que permitan la detección de comportamientos sospechosos.
Flea Grupo APT asociado a China utiliza nuevo backdoor Graphican para comprometer al Ministerio de Relaciones Exteriores Americano.
El grupo de amenazas persistentes avanzadas (APT) Flea (también conocido como APT15, Nickel), aprovecha el backdoor de la API de Microsoft Graph para establecer la comunicación remota con las víctimas. Los objetivos de este grupo, de acuerdo a los investigadores de symantec, parecen ser asociados a gobiernos, misiones diplomáticas y embajadas, con el fin de obtener información de inteligencia.
Graphican es una evolución del conocido backdoor de Flea, Ketrican, que a su vez se basaba en un malware anterior, BS2005, también utilizado por Flea. Graphican tiene la misma funcionalidad básica que Ketrican, con la diferencia de que Graphican usa Microsoft Graph API y OneDrive para obtener su infraestructura de comando y control (C&C).
Una vez en una máquina, Graphican hace lo siguiente:
Los comandos que puede ejecutar Graphican incluyen:
Muddled Libra grupo APT que apunta a organizaciones en las industrias de automatización de software, BPO, telecomunicaciones y tecnología.
De acuerdo a una reciente investigación de Unit42, para frustrar parte de los ataques de esta amenaza persistente avanzada se requiere una combinación de estrictos controles de seguridad, capacitación diligente en concientización sobre seguridad a los colaboradores de la organización y monitoreo atento de toda la infraestructura y sistemas.
El estilo de ataque que define a Muddled Libra apareció en el radar de ciberseguridad a fines del 2022 con el lanzamiento del kit de phishing 0ktapus, que ofrecía un marco de alojamiento preconstruido y plantillas integradas. Con una gran cantidad de portales de autenticación falsos realistas y smishing dirigido, los atacantes pudieron recopilar rápidamente credenciales y códigos MFA de autenticación multifactor.
La velocidad y la amplitud de estos ataques tomaron por sorpresa a muchos defensores. Si bien el smishing no es nuevo, el marco 0ktapus mercantilizó el establecimiento de una infraestructura normalmente compleja de una manera que otorgó incluso a los atacantes poco calificados una alta tasa de éxito.
Estas características incluían plantillas prediseñadas y un canal C2 integrado a través de Telegram, todo por un costo de solo unos pocos cientos de dólares estadounidenses. Esta mejora en la funcionalidad llevó a los ciberdelincuentes a lanzar una campaña de ataque masivo dirigida a una amplia gama de organizaciones.
La gran cantidad de objetivos alcanzados con este kit ha creado una gran confusión en la comunidad de investigación sobre la atribución de estos ataques. Informes anteriores de Group-IB , CrowdStrike y Okta han documentado y asignado muchos de estos ataques a los siguientes grupos de intrusión: 0ktapus, Scattered Spider y Scatter Swine. Si bien estos han sido tratados en los medios como tres nombres para un grupo, en realidad es probable que múltiples actores usen un conjunto de herramientas común.
Durante las investigaciones de respuesta a incidentes de la Unidad 42, se identificaron varios casos que se superponen. Esto indicó un subconjunto de los grupos mencionados anteriormente que se centran en una serie compleja de ataques a la cadena de suministro, lo que en última instancia conduce a objetivos de criptomonedas de alto valor.
Las características definitorias de Muddled Libra incluyen lo siguiente:
PindOS el nuevo dropper que distribuye el malware Bumblebee e IcedID
Una reciente investigación de Deep Instinct del 22 de junio del 2023, evidenció una nueva variante del dropper PindOS que ofrece Bumblebee e IcedID malware. Para más información de Bumblebee y IceID, vea los siguientes boletínes:
El modus operandi de PindOS es relativamente simple según comentan los investigadores, ya que se trata de solo una función "exec", que obtiene cuatro parámetros para conseguir el acceso inicial:
Malware Tsunami botnet usado para infectar servidores Linux
Se ha evidenciado a través de una investigación de ASEC del 20 de junio del 2023, una nueva campaña de malware de la botnet Tsunami enfocada en servidores mal administrados de Linux SSH, para instalar bots DDoS o CoinMiners. De acuerdo a los investigadores los actores de amenaza no solo instalan el malware Tsunami, sino que también aprovechan la brecha para propagar otros programas maliciosos como: ShellBot, XMRig CoinMiner y Log Cleaner.
Tsunami es un bot DDoS que también se conoce como Kaiten. Es una de las varias cepas de malware que se han distribuido constantemente junto con Mirai y Gafgyt cuando se dirigen a dispositivos IoT que generalmente son vulnerables. Si bien todos comparten el terreno común de ser bots DDoS, Tsunami se destaca de los demás en que opera como un bot IRC, utilizando IRC para comunicarse con el actor de amenazas.
El código fuente de Tsunami está disponible públicamente, por lo que es utilizado por una multitud de actores de amenazas. Entre sus diversos usos, se utiliza mayoritariamente en ataques contra dispositivos IoT. Por supuesto, también se usa constantemente para apuntar a servidores Linux. Además, similar al caso en el que XMRig CoinMiner se distribuyó a un contenedor Docker público con Tsunami, se confirmó otro caso en el que también se distribuyeron a un entorno de nube. Además, la inclusión de malware dentro de contenedores Docker distribuidos no oficialmente es uno de sus principales vectores de ataque.
Juego Super Mario 3 utilizado para distribuir malware del tipo troyano
Super Mario 3: Mario Forever es una nueva versión gratuita del clásico juego de Nintendo desarrollado por Buziol Games y lanzado para la plataforma Windows en 2003. Recientemente los investigadores de Cyble, han descubierto que los instaladores del popular juego están siendo usados por los actores de amenaza para propagar troyanos enfocados en afectar a los jugadores desprevenidos aprovechándose de la ingeniería social que persuade a los jugadores a descargar e instalar programas aparentemente legítimos.
Los actores de amenaza aprovechan el hardware en su mayoría de grandes capacidades de procesamiento para instalar múltiples componentes troyanizados incluido un minero XMR, un cliente de minería SupremeBot y el infostealer Umbral de código abierto. Según lo observado en la investigación, los archivos de malware se encontraron junto con un archivo de instalación legítimo de super-mario-forever-v702e.
Vulnerabilidades activas de dispositivos IOT de varios proveedores explotadas por la botnet Mirai
El malware ha sido identificado por investigadores de la Unidad 42 de Palo Alto Networks, dos campañas en curso que comenzaron el 14 de marzo y aumentaron en abril y junio del 2023. El objetivo de los actores de amenaza es aprovechar varias vulnerabilidades de los dispositivos IoT para propagar una variante del malware de la red de bots Mirai. Las vulnerabilidades explotadas incluyen:
Apple lanza parche de seguridad para vulnerabilidades de Zero Day activamente explotadas
El miércoles 21 de junio Apple lanza varias actualizaciones un aviso de seguridad que contempla 2 vulnerabilidades para varios de sus productos afectados, entre los que se encuentran:
Las vulnerabilidades están rastreadas con los siguientes CVEs:
La explotación de las vulnerabilidades fue descubierta por los investigadores de la firma de seguridad Kaspersky tras el análisis de un implante de spyware utilizado en la campaña de ataque cero clic dirigida a dispositivos iOS a través de iMessages que contenía un archivo adjunto integrado con un exploit para la vulnerabilidad de ejecución remota de código (RCE) del kernel.
Para más información de la actualizaciones de seguridad visita la web oficial de Apple en el siguiente enlace:
Varios Repositorios de Github podrían estar expuestos a un ataque de RepoJacking
El RepoJacking o también conocido como: secuestro de repositorio de dependencias, es un tipo de ataque de cadena de suministro, que permite a los atacantes apoderarse de las dependencias de los proyectos de GitHub o de un proyecto completo para ejecutar código malicioso en quien los use.
Un ejemplo de la técnica se implementa cuando el creador del repositorio opta por cambiar el nombre de usuario, lo que podría permitir que un actor de amenazas reclame el nombre de usuario anterior y publique un repositorio falso con el mismo nombre en un intento de engañar a los usuarios para que los descarguen.
La explotación de ésta vulnerabilidad de alta gravedad en GitHub podría permitir a los actores de amenaza establecer dos escenarios, según la firma de seguridad Aquasec.
Una descarga automatizada de un repositorio vulnerable de RepoJacking es cuando el usuario no descarga voluntariamente o a sabiendas ningún recurso de otro repositorio de GitHub. Un ejemplo de eso es cuando otro proyecto está usando un componente que está almacenado en un repositorio de GitHub vulnerable a RepoJacking. Puede ser descargando un recurso o un módulo (por ejemplo, go, swift).
Mientras que una descarga manual desde un repositorio vulnerable de RepoJacking es cuando el usuario inserta activamente el enlace al repositorio de RepoJackable. Un ejemplo de esto es cuando aparece un enlace en una guía de instalación oficial. Puede estar en el repositorio vulnerable README[.]md o en el sitio web de la organización. Otro ejemplo de eso es cuando aparece un enlace en algún lugar de Internet. Por ejemplo, Stack Overflow, Reddit, un blog, etc.
A continuación se muestran 3 ejemplos de la vida real de repositorios vulnerables:
Fortinet publica avisos de seguridad para fallas en FortiNAC
Fortinet ha publicado 2 nuevos avisos de seguridad, entre ellos se contemplan 2 vulnerabilidades clasificadas en 1 Crítica y 1 Media. Estas fallas de seguridad afectan a diversas versiones de FortiNAC. Para mas información respecto a esta vulnerabilidad, revise el siguiente boletín:
Nuevos avisos de seguridad y lanzamiento de Exploit en Cisco AnyConnect
Cisco ha publicado 2 nuevos avisos de seguridad que contemplan 4 vulnerabilidades, todas estas clasificadas como de severidad Media. Estas fallas afectan a productos como:
Además, se notifica la existencia de un código de explotación de prueba de concepto (PoC) para la vulnerabilidad CVE-2023-20178 que abordamos en un boletín de este mismo mes, el cual afecta a Cisco AnyConnect y otorga privilegios de SYSTEM. Si desea ampliar la información, consulte el siguiente boletin:
VMware publica nuevas vulnerabilidades importantes que afectan a sus productos
VMware ha publicado 1 nuevo aviso de seguridad que contempla 5 vulnerabilidades, de las cuales 4 son de severidad Alta y 1 de severidad Media. Estas fallas afectan a los siguientes productos:
Para mas informacion respecto a esta noticia, puede revisar el siguiente enlace:
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 26 de junio al 2 de julio del 2023:
Objetivos observados durante semana de análisis:
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
El listado de las CVE se adjunta a continuación: