ENTEL Weekly Threat Intelligence Brief del 3 de julio al 9 de julio de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• CISA advierte a las agencias gubernamentales que parchen controlador de Android explotado activamente
• Se advierte a los clientes de MOVEit Transfer que parchen una nueva falla crítica
• APT chino SmugX utiliza la técnica HTML Smuggling para apuntar a ministerios y embajadas europeos
• El grupo APT TA453 se ha vinculado a una nueva campaña de malware dirigida a los sistemas Windows y MacOS.
• El puerto más grande de Japón detiene sus operaciones después de un ataque de ransomware
• CISA y el FBI advierten que Truebot infecta a organizaciones con sede en EE. UU. y Canadá
• Neo_Net ejecuta una campaña de eCrime dirigida a clientes de bancos a nivel mundial
• Vulnerabilidad de autenticación de omisión en SD-WAN de VMware
• Nuevas vulnerabilidades afectan a productos Cisco
• El nuevo ransomware 'Big Head' muestra una alerta de actualización falsa de Windows
• Actores de  Charming Kitten usan el nuevo malware 'NokNok' para MacOS

El puerto más grande de Japón detiene sus operaciones después de un ataque de ransomware

El puerto de Nagoya, el puerto más grande y concurrido de Japón, ha sido blanco de un ataque de ransomware que actualmente afecta el funcionamiento de las terminales de contenedores.

La autoridad administrativa del Puerto de Nagoya ha emitido un aviso sobre un mal funcionamiento en el "Sistema de Terminal Unificado del Puerto de Nagoya" (NUTS), el sistema central que controla todas las terminales de contenedores en el puerto.

Según el aviso, el problema fue causado por un ataque de ransomware que ocurrió el 4 de julio de 2023, alrededor de las 06:30 am hora local.

“Tras investigar la causa, celebramos una reunión con el Comité de la Terminal de la Asociación de Operaciones del Puerto de Nagoya, que opera el sistema y ​​la Jefatura de Policía de la Prefectura de Aichi, se descubrió que el problema era una infección de ransomware”. —  Puerto de Nagoya 

Al momento de la publicación, el actor de amenazas detrás del ataque de ransomware en el puerto de Nagoya sigue siendo desconocido ya que ningún actor de amenazas ha reclamado la intrusión públicamente todavía.

El nuevo ransomware 'Big Head' muestra una alerta de actualización falsa de Windows

Los investigadores de seguridad de Trend Micro han analizado una cepa de ransomware recientemente surgida llamada 'Big Head' que puede estar propagándose a través de publicidad maliciosa que promueve actualizaciones falsas de Windows e instaladores de Microsoft Word.

El ransomware 'Big Head' es un binario [.]NET que instala tres archivos cifrados con AES en el sistema de destino: uno se utiliza para propagar el malware, otro es utilizado para la comunicación con el bot de Telegram y el tercero cifra los archivos y también puede mostrarle al usuario una copia falsa de la actualización de Windows.

En la ejecución, el ransomware también realiza acciones como crear una clave de ejecución automática del registro, sobrescribir los archivos existentes si es necesario, configurar los atributos del archivo del sistema y deshabilitar el Administrador de tareas.

Trend Micro comenta que Big Head no es una cepa de ransomware sofisticada, sus métodos de cifrado son bastante estándar y sus técnicas de evasión son fáciles de detectar.

Sin embargo, parece centrarse en los consumidores a los que se puede engañar con trucos fáciles (por ejemplo, una actualización falsa de Windows) o que tienen dificultades para comprender las medidas de seguridad necesarias para evitar los riesgos de ciberseguridad.

APT chino SmugX utiliza la técnica HTML Smuggling para apuntar a ministerios y embajadas europeos

Se observó a un grupo APT vinculado a China usando la técnica HTML Smuggling en ataques contra ministerios de Relaciones Exteriores y embajadas en Europa, informa la firma de seguridad cibernética Check Point.

Los investigadores rastrearon la campaña como SmugX e informaron que ha estado en curso desde al menos diciembre de 2022. Los expertos especulan que la campaña es una continuación de una campaña informada anteriormente atribuida a RedDelta (y también a Mustang Panda).

Los actores de amenazas utilizaron mensajes de phishing dirigidos para engañar a los destinatarios para que descargaran un archivo JavaScript o ZIP. Al abrir estos documentos HTML maliciosos, la carga incrustada dentro del código se descodifica y se guarda en un blob de JavaScript. Los investigadores notaron que en lugar de utilizar el elemento HTML, el código JavaScript lo crea dinámicamente.

El grupo APT TA453 se ha vinculado a una nueva campaña de malware dirigida a los sistemas Windows y MacOS.

TA453 es un actor de estado-nación que se superpone con la actividad rastreada como  Charming Kitten ,  PHOSPHORUS y  APT42 .

El mensaje de phishing aparece como un señuelo de conversación legítimo que se hace pasar por un miembro senior del Royal United Services Institute (RUSI) para el contacto de medios públicos de un experto en seguridad nuclear en un grupo de expertos con sede en EE. UU. centrado en asuntos exteriores.

Los investigadores observaron que TA453 usaba una variedad de proveedores de alojamiento en la nube para generar una nueva cadena de infección destinada a implementar una nueva puerta trasera de PowerShell denominada GorjolEcho.

CISA y el FBI advierten que Truebot infecta a organizaciones con sede en EE. UU. y Canadá

Se utilizó una nueva variante del malware Truebot en ataques contra organizaciones en Estados Unidos y Canadá. Los actores de amenazas comprometieron las redes objetivo al explotar una vulnerabilidad crítica de ejecución remota de código (RCE) en el software Netwrix Auditor rastreado como  CVE-2022-31199.

Truebot ha estado activo desde 2017 y algunos investigadores lo vincularon con  Silence Group , mientras que una investigación reciente lo vinculó con el actor de amenazas  TA505  (también conocido como Evil Corp).

Una vez que se implementó el malware TrueBot en las redes violadas comprometidas, los actores de amenazas entregan FlawedGrace RAT, que es un malware que se sabe que forma parte del arsenal del grupo TA505. Los atacantes usan el malware para aumentar los privilegios y mantener la persistencia en los sistemas comprometidos.

Neo_Net ejecuta una campaña de eCrime dirigida a clientes de bancos a nivel mundial

Un estudio conjunto realizado por vx-underground y SentinelOne reveló recientemente que un actor de amenazas mexicano que se conecta en línea con el alias Neo_Net está detrás de una campaña de malware de Android dirigida a instituciones financieras de todo el mundo. El caso fue informado por el investigador de seguridad Pol Thill .

Según se informa, la campaña eCrime de Neo_Net estuvo dirigida a clientes de bancos a nivel mundial, con un enfoque en bancos españoles y chilenos, desde junio del 2021 hasta abril del 2023. El actor de amenazas utiliza herramientas relativamente poco sofisticadas, pero los expertos especulan que la razón detrás del éxito de esta campaña es la capacidad de adaptar la infraestructura de ataque a objetivos específicos.

Se ha estimado que el actor de amenazas robó más de 350.000 EUR de las cuentas bancarias de las víctimas y comprometió la información de identificación personal (PII) de miles de víctimas.

30 de las 50 instituciones financieras objetivo están ubicadas en España o Chile, la lista de objetivos incluye los siguientes bancos: Santander, BBVA y CaixaBank. El actor de amenazas también apuntó a bancos en otras regiones, incluidos Deutsche Bank, Crédit Agricole e ING. 

Actores de Charming Kitten usan el nuevo malware 'NokNok' para MacOS

Los investigadores de seguridad observaron una nueva campaña que atribuyen al grupo Charming Kitten APT donde los ciberactores utilizaron el nuevo malware NokNok que apunta a los sistemas MacOS.

La campaña comenzó en mayo y se basa en una cadena de infección diferente a la observada anteriormente, con archivos LNK que implementan las cargas útiles en lugar de los típicos documentos de Word maliciosos vistos en ataques anteriores del grupo.

El malware NokNok recopila información del sistema que incluye la versión del sistema operativo, los procesos en ejecución y las aplicaciones instaladas.

NokNok cifra todos los datos recopilados, los codifica en formato base64 y los extrae.

Proofpoint también menciona que NokNok podría presentar una funcionalidad más específica relacionada con el espionaje a través de otros módulos no vistos.

CISA advierte a las agencias gubernamentales que parchen controlador de Android explotado activamente

La falla (registrada como CVE-2021-29256) es una debilidad de uso posterior a la liberación que puede permitir a los atacantes escalar a privilegios de root u obtener acceso a información confidencial en dispositivos Android objetivo al permitir operaciones incorrectas en la memoria GPU. Un usuario sin privilegios puede realizar operaciones incorrectas en la memoria de la GPU para obtener acceso a la memoria ya liberada y puede obtener privilegios de root y/o divulgar información.

Este problema se solucionó en Bifrost y Valhall GPU Kernel Driver r30p0 y se solucionó en Midgard Kernel Driver r31p0. Se recomienda a los usuarios actualizar si se ven afectados por este problema.

Las Agencias del Poder Ejecutivo Civil Federal de EE. UU. (FCEB) tienen hasta el 28 de julio para proteger sus dispositivos contra ataques dirigidos a la vulnerabilidad CVE-2021-29256 agregada a la lista de vulnerabilidades explotadas conocidas de CISA.

De acuerdo con la  directiva operativa vinculante (BOD 22-01)  emitida en noviembre de 2021, las agencias federales están obligadas a evaluar y abordar minuciosamente cualquier falla de seguridad descrita en el catálogo KEV de CISA.

Nuevas vulnerabilidades afectan a productos Cisco

Cisco ha publicado 4 nuevos avisos de seguridad que contemplan 5 vulnerabilidades, de las cuales  1 es de severidad Alta y 4 de severidad Media. Estas fallas afectan a productos como:

• Switches Cisco Nexus 9000
• Cisco Webex Meetings
• Entre otros

Severidad Alta

• CVE-2023-20185 [CVSSv3: 7.4]
  Vulnerabilidad de divulgación de información de cifrado CloudSec de sitios múltiples de Cisco ACI

Severidad Media

• CVE-2023-20133  [CVSSv3: 5.4]
  Vulnerabilidades de Stored Cross-Site Scripting en Cisco Webex Meetings 
• CVE-2023-20180 [CVSSv3: 4.3]
  Vulnerabilidad de falsificación de solicitud entre sitios de Cisco Webex Meetings
• CVE-2023-20207 [CVSSv3: 4.9]
  Vulnerabilidad de divulgación de información del proxy de autenticación de Cisco Duo
• CVE-2023-20210 [CVSSv3: 4.9]
  Vulnerabilidad de escalada de privilegios de Cisco BroadWorks

Se advierte a los clientes de MOVEit Transfer que parchen una nueva falla crítica

MOVEit Transfer, el software en el centro de la reciente ola masiva de infracciones de ransomware Clop, recibió una actualización que corrige un error de inyección SQL de gravedad crítica y otras dos vulnerabilidades menos graves.

Progress, el desarrollador de MOVEit Transfer, descubrió múltiples problemas de inyección de SQL en su producto que incluyen uno crítico rastreado como CVE-2023-36934, que puede explotarse sin la autenticación del usuario.

La segunda falla de inyección SQL se identifica como CVE-2023-36932 y recibió una calificación de gravedad alta porque un atacante podría explotarla después de la autenticación.

Una tercera vulnerabilidad abordada con este parche es CVE-2023-36933, un problema de alta gravedad que permite a los atacantes provocar la terminación inesperada del programa.

Vulnerabilidad de autenticación de omisión en SD-WAN de VMware

VMware ha publicado un nuevo aviso de seguridad que contempla una vulnerabilidad de severidad Media que afecta a  SD-WAN (edge).

CVE-2023-20185 [CVSSv3: 7.4]
Vulnerabilidad de autenticación de omisión

VMware SD-WAN (Edge) contiene una vulnerabilidad de omisión de autenticación. Un atacante no autenticado puede descargar el paquete de diagnóstico de la aplicación en VMware SD-WAN Management.

Esta vulnerabilidad afecta solo a los dispositivos Edge y no a la consola de administración SD-WAN (VCO).

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 10  al 16 de julio de 2023:

Objetivos observados durante semana de análisis: 

• Gobierno
• Infraestructura tecnológica
• Petróleo
• Energía
• Banca y Finanzas
• Seguros
• Retail y servicios de consumo
• Tecnología

DEFCON 1

• Industrias manufactureras, materiales y minería
• Servicios legales y profesionales

DEFCON 2

• Construcción e inmobiliaria
• Entretenimiento, cultura y arte
• Servicios de salud, sociales y farmacia
• Transportes y servicios automotrices.

DEFCON 3

• Retail y servicios de consumo
• Infraestructura tecnológica - Componentes
• Defensa y orden público
• Infraestructura tecnológica
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantes

DEFCON 4

• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Educación
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.