ENTEL Weekly Threat Intelligence Brief del 10 de julio al 16 de julio de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
 

• El ransomware cuesta a los servicios financieros 32.000 millones de dólares en cinco años
• Purr-fectly Crafted for Macs: Charming Kitten presenta el malware NokNok
• Una falsa PoC para una vulnerabilidad del kernel de Linux en GitHub expone a los investigadores al malware
• La banda Genesis Market intenta vender la plataforma tras la interrupción del FBI
• WISE REMOTE Stealer Unleashed : Desvelando su polifacético arsenal malicioso
• Lokibot aprovecha las vulnerabilidades de los documentos de Word para propagarse
• AVrecon, la nueva botnet para routers SOHO, se extiende a 70.000 dispositivos en 20 países
• PoC Exploit Publicado para la reciente vulnerabilidad Ubiquiti EdgeRouter
• Día cero de Office sin parches CVE-2023-36884 explotado activamente en ataques dirigidos
• Zimbra ha publicado actualizaciones para abordar una vulnerabilidad de día cero explotada activamente en ataques dirigidos a servidores de correo electrónico Zimbra Collaboration Suite (ZCS).
• Cisco SD-WAN vManage afectado por el acceso no autenticado a la API REST
• Un popular plugin de seguridad de WordPress es sorprendido registrando contraseñas sin formato

El ransomware cuesta a los servicios financieros 32.000 millones de dólares en cinco años

Las organizaciones mundiales de servicios financieros han perdido más de 32.000 millones de dólares en tiempo de inactividad desde 2018 debido a brechas de ransomware, según afirma un nuevo informe.

Comparitech analizó 225 ataques confirmados contra el sector en los últimos cinco años y descubrió que la organización promedio pierde dos semanas en tiempo de inactividad debido a un incidente.

Más información sobre el ransomware: El sector financiero se enfrenta a una amenaza creciente de ransomware.

La empresa calculó los costes utilizando un informe de 2017 que calculaba el tiempo de inactividad en 20 sectores en 8.662 dólares por minuto. Moody señaló que algunos estudios han puesto la cifra mucho más alta, a 9,3 millones de dólares por hora para el sector bancario. Eso situaría las pérdidas totales por tiempo de inactividad por ransomware para el vertical en la asombrosa cifra de 581.000 millones de dólares durante el período de cinco años.

Purr-fectly Crafted for Macs: Charming Kitten presenta el malware NokNok

Proofpoint ha detectado recientemente una nueva campaña orquestada por el grupo APT Charming Kitten, también conocido como APT42 o Phosphorus. En esta campaña, los adversarios han empleado un nuevo malware llamado NokNok, diseñado específicamente para atacar sistemas macOS. En particular, la campaña comenzó en mayo y utiliza un método alternativo de infección en comparación con casos anteriores.

NokNok, tras generar un identificador de sistema único, utiliza un conjunto de cuatro módulos de script bash para lograr varios objetivos. Estos objetivos incluyen establecer persistencia, establecer comunicación con el servidor C2 e iniciar la exfiltración de datos al servidor.

Como parte de sus operaciones, el malware recopila información del sistema, como la versión del sistema operativo, los procesos en ejecución y las aplicaciones instaladas.

Para garantizar la confidencialidad de los datos recopilados, NokNok emplea técnicas de cifrado y codifica los datos en formato base64 antes de exfiltrarlos.

Además, Proofpoint sugiere la posibilidad de que NokNok contenga módulos adicionales no revelados con funcionalidades relacionadas con el espionaje. Esta sospecha surge de las similitudes de código observadas con el malware GhostEcho.

Una falsa PoC para una vulnerabilidad del kernel de Linux en GitHub expone a los investigadores al malware

Se ha descubierto una prueba de concepto (PoC) en GitHub, que oculta una puerta trasera con un método de persistencia.

La prueba de concepto esconde intenciones maliciosas bajo la apariencia de una herramienta de aprendizaje, Operando como un descargador, silenciosamente vuelca y ejecuta un script bash de Linux, todo el tiempo disfrazando sus operaciones como un proceso a nivel de kernel.

El repositorio se hace pasar por un PoC para CVE-2023-35829, un fallo de alta gravedad recientemente revelado en el kernel de Linux y pese a que ha sido retirado, logró ser bifurcado 25 veces. Otro PoC compartido por la misma cuenta, para CVE-2023-20871, un fallo de escalada de privilegios que afecta a VMware Fusion, fue bifurcado dos veces.

También se encontró otro perfil de GitHub que contenía un PoC falso para CVE-2023-35829 que  ha sido bifurcado 19 veces.

La banda Genesis Market intenta vender la plataforma tras la interrupción del FBI

Los delincuentes detrás de la plataforma de fraude cibernético Genesis Market están tratando de vender su empresa casi tres meses después de una operación dirigida por el FBI que incautó sus dominios web claros y añadió la plataforma a la lista de sanciones del Tesoro de EE.UU.

Una cuenta que parece estar asociada a los operadores de Genesis Market ha publicado mensajes en foros de piratería de la darknet para anunciar la venta. 

En las primeras 24 horas desde que los dominios web de la plataforma fueron capturados por la policía, se  anunció la detención de casi 120 personas en todo el mundo que habían estado utilizando la plataforma para cometer fraudes, adicionalmente funcionarios del FBI declararon que habían identificado y localizado los servidores backend de Genesis Market, obteniendo información sobre aproximadamente 59.000 cuentas de usuario individuales, que podrían ser investigadas en el futuro.

Cabe destacar que solo se dio de baja el sitio de la clear web, ya que su espejo en la red TOR se mantiene activo, pero su actividad ha sido impactada.

WISE REMOTE Stealer Unleashed : Desvelando su polifacético arsenal malicioso

Durante las primeras semanas de junio de 2023, la aparición de WISE REMOTE Stealer suscitó un gran interés en destacados foros clandestinos debido a sus atractivas características, capacidades y precio competitivo.

El equipo de investigación de CYFIRMA ha descubierto, que funciona como ladrón y como troyano de acceso remoto (RAT). Este sofisticado malware ha ganado mucha tracción gracias a su promoción en foros clandestinos, Telegram y Discord.

Se observan mejoras continuas en WISE REMOTE Stealer, ya que el actor de amenaza incorpora continuamente nuevas funciones para aumentar su eficacia y ampliar su base de usuarios

Lokibot aprovecha las vulnerabilidades de los documentos de Word para propagarse

FortiGuard Labs descubrió recientemente una nueva campaña de LokiBot que explotaba un par de vulnerabilidades bien conocidas en documentos de Microsoft Office. La campaña salió a la luz por primera vez en mayo, mientras los investigadores analizaron dos tipos de documentos de Word.

Los operadores de este malware aprovecharon dos vulnerabilidades de ejecución remota de código, rastreadas como CVE-2021-40444 y CVE-2022-30190 (Follina), para incrustar macros maliciosos en documentos de Microsoft.

Inicialmente, el ataque se lanza utilizando los documentos de Word afectados por CVE-2021-40444. El documento contenía un archivo "document[.]xml[.]rels" y un enlace MHTML. La ejecución de este archivo provocaba el despliegue de exploits de archivo para la segunda vulnerabilidad.

Hacia finales de mayo, los atacantes cambiaron su táctica incrustando un script VBA dentro del documento Word.

El script VBA creaba un archivo INF para cargar un archivo DLL que descargaba un inyector de código junto a varias técnicas de evasión para permitir a los atacantes ejecutar el malware LokiBot en la etapa final.

AVrecon, la nueva botnet para routers SOHO, se extiende a 70.000 dispositivos en 20 países

Una nueva campaña de malware ha sido identificada por los investigadores de Lumen comprometiendo routers de oficinas pequeñas o domésticas (SOHO) en todo el mundo. La nueva cepa de malware, según los investigadores, pretende crear una red de botnets encubierta para facilitar el anonimato de una gran variedad de actividades delictivas, desde la difusión de contraseñas hasta el fraude publicitario digital.

Una vez que AVrecon RAT (Remote Access Trojan) infecta un sistema comprueba si se están ejecutando instancias de sí mismo y las elimina por la instancia más recientemente activa, para recopilar información basada en host como:

• Detalles sobre el sistema operativo
• La configuración de seguridad
• Los servicios que se ejecutan en el dispositivo

El puerto comúnmente utilizado observado en la reciente investigación por el malware,  corresponde al puerto 48102 que el malware establece en modo escucha de procesos existentes en el host afectado, adicionalmente, tiene capacidad de autoeliminación si no logra establecer conexión con su C&C a través de solicitudes de tipo GET.

PoC Exploit Publicado para la reciente vulnerabilidad Ubiquiti EdgeRouter

Una vulnerabilidad recientemente parcheada en los dispositivos Ubiquiti EdgeRouter y AirCube podría ser explotada para ejecutar código arbitrario, 

El problema, identificado como CVE-2023-31998, se describe como una vulnerabilidad de desbordamiento de heap que puede ser explotada a través de una conexión LAN y que según Ubiquiti, un atacante que explote este fallo puede interrumpir el servicio UPnP de un dispositivo vulnerable.

La vulnerabilidad reside en el servicio MiniUPnPd de los dispositivos afectados y que los atacantes de LAN pueden aprovecharla "para desbordar un heap interno y potencialmente ejecutar código arbitrario, adicionalmente, es probable que otros productos que dependen de MiniUPnPd o de distribuciones de routers como OpenWrt, VyOS o DD-WRT todavía se distribuyan con MiniUPnPd vulnerable".

Día cero de Office sin parches CVE-2023-36884 explotado activamente en ataques dirigidos

Microsoft ha revelado una vulnerabilidad de día cero sin parche en varios productos de Windows y Office que ha sido explotada activamente. El problema, rastreado como CVE-2023-36884, ha sido explotado por agentes de estado y ciberdelincuentes para conseguir la ejecución remota de código a través de documentos de Office maliciosos.

Se está investigando informes sobre una serie de vulnerabilidades de ejecución remota de código que afectan a los productos Windows y Office, revelando que tiene conocimiento de ataques muy selectivos que intentan aprovecharse de estos problemas a través de documentos de Office especialmente diseñados.

Microsoft está trabajando para solucionar la vulnerabilidad, los expertos señalaron que puede solucionarse mediante un parche fuera de banda que puede publicarse antes del martes de parches de agosto.

Zimbra ha publicado actualizaciones para abordar una vulnerabilidad de día cero explotada activamente en ataques dirigidos a servidores de correo electrónico Zimbra Collaboration Suite (ZCS).

Zimbra insta a sus clientes a instalar manualmente las actualizaciones para corregir una vulnerabilidad de día cero que se explota activamente en ataques contra servidores de correo electrónico Zimbra Collaboration Suite (ZCS). ya que ha surgido una vulnerabilidad en la versión 8.8.15 que podría afectar potencialmente a la confidencialidad e integridad de los datos.

La vulnerabilidad de Cross-Site Scripting (XSS) que fue descubierta por Google Threat Analysis Group (TAG) y confirmó que este problema también fue utilizado por un grupo APT.

Cisco SD-WAN vManage afectado por el acceso no autenticado a la API REST [CVE-2023-20214 ]

El software de gestión Cisco SD-WAN vManage está afectado por un fallo que permite a un atacante remoto no autenticado obtener permisos de lectura o escritura limitada en la configuración de la instancia afectada, cabe destacar que solo afecta a las consultas API REST y no a la interfaz por web o CLI.

Cisco publicó un boletín de seguridad informando de la vulnerabilidad CVE-2023-20214 de gravedad crítica en la validación de autenticación de peticiones para la API REST del software Cisco SD-WAN vManage.

El fallo se debe a una validación insuficiente de las solicitudes cuando se utiliza la función API REST, que puede aprovecharse enviando una solicitud de API especialmente diseñada a las instancias de vManage afectadas, permitiendo a los atacantes leer información sensible del sistema comprometido, modificar ciertas configuraciones, interrumpir las operaciones de red y más.

Un popular plugin de seguridad de WordPress es sorprendido registrando contraseñas sin formato

Se ha descubierto que el plugin de WordPress All-In-One Security (AIOS) en su versión 5.1.9  registra las contraseñas  de los intentos de inicio de sesión en texto plano, lo que básicamente a cualquier usuario con privilegios acceso a las credenciales de inicio de sesión de todos los demás usuarios administradores.

Lo crítico de esta vulnerabilidad es que corresponde a un complemento de seguridad y cortafuegos diseñado para prevenir ciberataques como intentos de fuerza bruta, avisar cuando se utiliza el nombre de usuario de administrador predeterminado para iniciar sesión, prevenir ataques de bots, registrar la actividad de los usuarios y eliminar el spam de comentarios.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 17  al 23 de julio de 2023:

Objetivos observados durante semana de análisis: 

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes

• No se identifican industrias en DEFCON 2 para esta semana
   

• Organizaciones sin fines de lucro
• Servicios básicos y sanitarios

• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Petróleo
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.