ENTEL Weekly Threat Intelligence Brief del 17 de julio al 23 de julio de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Servidores MS-SQL inseguros, están siendo explotados por Ransomware Mallox   
• Nuevo Ransomware NoEscape y posibles vínculos con la banda Avaddon 
• Grupo FIN8, incorpora Ransomware ALPHV desplegando malware Sardonic  
• JumpCloud busca responsables por afectación de seguridad  
• Grupo APT41 es detectado espiando dispositivos móviles con WyrmSpy y DragonEgg 
•  Malware LokiBot estaría siendo implementado debido a fallos de seguridad en Microsoft Word  
• Servidores Redis estarían siendo afectados por nuevo gusano llamado P2Pinfect
• Corea del Norte podría estar detrás de los ataques que afectaron a JumpCloud
• BundleBot un malware que se aprovecha de la IA y sus utilidades
• Un nuevo troyano tipo RAT llamado HotRat, se propaga a través de software pirateado
• Chat GPT4 está siendo utilizado para robar información bancaria a través de anuncios falsos  
• Fallo en complemento de pagos WooCommerce permite secuestrar sitios web 
• Agencias gubernamentales de EE.UU. en alerta por vulnerabilidades 0 day de Windows y Office  
• Error humano habría causado filtración de más de 5.600 registros de clientes de Virus Total  

Servidores MS-SQL inseguros, están siendo explotados por Ransomware Mallox  

Según una investigación llevada a cabo por la Unidad 42 de Palo Alto Networks, las actividades del ransomware Mallox han experimentado un aumento de un 174% en lo que va de este año 2023 en comparación con el año anterior.

Mallox Ransomware utiliza la doble extorsión para obtener el beneficio económico de sus víctimas. 

Este actor de amenaza, está vinculado a otras cepas de ransomware como TargetCompany, Tohnichi, Fargo y más recientemente Xollam que apareció por primera vez en escena en junio del 2021.

Entre los sectores que afecta figuran: la fabricación de productos, los servicios profesionales - legales y el comercio mayorista y minorista.

Este grupo ha estado más activo en los últimos meses y sus recientes esfuerzos de reclutamiento pueden permitirles atacar a más organizaciones si la campaña de reclutamiento tiene éxito.

Nuevo Ransomware NoEscape y posibles vínculos con la banda Avaddon   

Tan solo el mes pasado NoEscape lanzó sus primeros ataques utilizando la técnica de doble extorsión con sus víctimas, entre las plataformas y sistemas a los que afectan destacan: servidores Windows, Linux y VMware ESXi.

Hasta el momento este grupo de ciber actores ha enumerado diez empresas de diferentes países e industrias en su sitio de fuga de datos de la DDW (Deep Dark Web), lo que da a entender que no están apuntando a un sector en particular.

El creador de ID-Ransomware y experto en ransomware, Michael Gillespie, detectó que los encriptadores de ransomware de NoEscape y Avaddon son casi idénticos, con solo un cambio notable en los algoritmos de encriptación. Anteriormente, el cifrador Avaddon utilizaba AES para el cifrado de archivos y NoEscape cambiaba al algoritmo Salsa20. Esto hace suponer que el grupo Avaddon está de vuelta pero con un nuevo nombre y utilizando mejoras a su código de cifrado.

Una de las omisiones al momento de cifrar radica en las extensiones de los archivos que posee la víctima, esto ayuda a que el código de cifrado ejecute su ataque sin interrupciones, las siguientes son las extensiones que omite: exe, bat, bin, cmd, com, cpl, dat, dll, drv, hta, ini, lnk, lock, log, mod, msc, msi, msp, pif, prf, rdp, scr, shs, swp, sys, theme.

Grupo FIN8, incorpora Ransomware ALPHV desplegando malware Sardonic  

Este grupo de ciber actores también conocido como Syssphinx, ha estado operando al menos desde enero del 2016, sus objetivos son las industrias como también el comercio minorista, restaurantes, hotelería, atención médica y entretenimiento.

Este grupo efectúa sus ataques de manera esporádica, sin embargo, hasta la fecha van más 100 víctimas que han caído en sus extorsiones.

Las herramientas que utiliza son bastante versátiles y ajustadas a cada ocasión, algunas de ellas son: BadHatch, PoSlurp, PunchTrack, PowerSniff, PunchBuggy, ShellTea entre otras, para afectar a sus víctimas utiliza kits de explotación enfocados en vulnerabilidades de día cero de Windows y campañas de phishing selectivo. Durante el tiempo han ido modificando su código y es así como actualmente utilizan una puerta trasera llamada Sardonic que posee grandes capacidades para recopilar información, ejecutar comandos e implementar módulos maliciosos adicionales como complementos de DLL.

"La decisión del grupo de expandir los ataques a distintos sectores demuestra la dedicación de los actores de amenazas para maximizar las ganancias de las organizaciones víctimas".

JumpCloud busca responsables por afectación se seguridad  

Si bien la compañía ya reestableció todas las claves API de sus clientes tras el ataque que sufrieron a comienzos de julio, ellos aseguran que detrás de la intrusión hay actores de amenaza de estado-nación, ya que los objetivos fueron dirigidos y de alto valor.

La firma estadounidense de software empresarial dijo que identificó una actividad anómala el 27 de junio de 2023 en un sistema de orquestación interno, que se remonta a una campaña de phishing lanzada por el atacante el 22 de junio, pero que aún no la han asociado a la sustracción de credenciales de usuario.

Según la evidencia obtenida post ataque, el investigador llmado Phan de JumpCloud dijo: “Estos son adversarios sofisticados y persistentes con capacidades avanzadas”, aún se tiene que revelar el nombre y los orígenes del grupo supuestamente responsable de este incidente.

Grupo APT41 es detectado espiando dispositivos móviles con WyrmSpy y DragonEgg 

Cabe recordar que este actor de amenaza efectúa operaciones para el estado-nación China, a la fecha se le han atribuido el uso de de dos cepas de malware llamadas WyrmSpy y DragonEgg. 

El ataque a este tipo de dispositivos móviles hace pensar que  son objetivos de alto valor con datos personales y corporativos codiciados.

Se desconoce el vector de intrusión inicial para la campaña de software de vigilancia móvil, aunque se sospecha que involucró el uso de ingeniería social. Lookout dijo que detectó por primera vez WyrmSpy ya en 2017 y DragonEgg a principios de 2021, con nuevas muestras de este último detectadas en abril de 2023.
WyrmSpy se disfraza principalmente como una aplicación de sistema predeterminada utilizada para mostrar notificaciones al usuario. Sin embargo, las variantes posteriores han empaquetado el malware en aplicaciones que se hacen pasar por contenido de video para adultos, Baidu Waimai y Adobe Flash. Por otro lado, DragonEgg se ha distribuido en forma de teclados Android de terceros y aplicaciones de mensajería como Telegram.

Por el momento no se ha establecido exactamente quién o cuántas víctimas pueden haber sido atacadas por WyrmSpy y DragonEgg.

En cuanto a las capacidades este software espía se pueden destacar la recolección y exfiltración de datos, sustrayendo fotos, ubicaciones, mensajes SMS y grabaciones de audio de los usuarios afectados.

Malware LokiBot estaría siendo implementado debido a fallos de seguridad en Microsoft Word  

LokiBot, también conocido como Loki PWS, ha sido un conocido troyano que roba información  y ha estado activo desde 2015, dijo Cara Lin, investigadora de Fortinet FortiGuard Labs. "Se dirige principalmente a los sistemas Windows y tiene como objetivo recopilar información confidencial de las máquinas infectadas" 

La empresa de ciberseguridad, que detectó la campaña en mayo de 2023, dijo que los ataques aprovechan CVE-2021-40444 y CVE-2022-30190 (también conocido como Follina) para lograr la ejecución del código.

El archivo de Word que arma CVE-2021-40444 contiene un enlace GoFile externo incrustado dentro de un archivo XML que conduce a la descarga de un archivo HTML, que explota a Follina para descargar una carga útil que lanza un módulo inyector escrito en Visual Basic que descifra y ejecuta LokiBot.

El inyector también cuenta con técnicas de evasión para verificar la presencia de depuradores y determinar si se está ejecutando en un entorno virtualizado.

Servidores Redis estrían siendo afectados por nuevo gusano llamado P2Pinfect

Investigadores de la Unidad 42 de Palo Alto Networks, han descubierto un nuevo gusano dirigido a la nube, punto a punto (P2P) llamado P2PInfect que se dirige a las instancias vulnerables de Redis para la explotación de seguimiento, pudiendo afectar sistemas basados en Linux y en Windows.

Una de las primeras muestras detectadas fue el 11 de julio de este año, se estima que existen 934 sistemas Redis vulnerables a esta amenaza. 

Este gusano posee un lenguaje de programación altamente escalable, escrito en Rust y compatible con la nube.

Una característica notable del gusano es su capacidad para infectar instancias vulnerables de Redis mediante la explotación de una vulnerabilidad crítica detallada bajo el CVE-2022-0543 (puntuación CVSS: 10,0), que se ha explotado previamente para distribuir varias familias de malware como Muhstik, un Malware existente desde 2017 que supone estar basado en código  Mirai y actualmente está afectando a la nube a través de varios exploits de aplicaciones web.

"El ataque P2PInfect está asociado directamente con el escape LUA Sandbox como se describe en CVE-2022-0543, donde el atacante aprovecha la biblioteca LUA para inyectar un script RCE que se ejecutará en el host comprometido. Esto está más estrechamente relacionado con el exploit Muhstik. Sin embargo, tampoco se cree que Muhstik y P2PInfect estén conectados".

El desarrollo se produce a medida que los activos en la nube mal configurados y vulnerables están siendo descubiertos en cuestión de minutos por malos actores que escanean constantemente Internet para montar ataques sofisticados.

"El gusano P2PInfect parece estar bien diseñado con varias opciones de desarrollo moderno", dijeron los investigadores. "El diseño y la construcción de una red P2P para llevar a cabo la autopropagación de malware no es algo que se vea comúnmente dentro del panorama de las amenazas de criptojacking o la orientación a la nube".

Corea del Norte podría estar detrás de los ataques que afectaron a JumpCloud

Tras un análisis efectuado a los indicadores de compromiso (IoC) asociados con el ataque de JumpCloud se ha evidenciado que grupos de ciberataque patrocinados por el estado de Corea del Norte, serían los responsables del último ataque recibido por JumpCloud. Estos antecedentes fueron descubiertos por el grupo investigativo de SentinelOne, quienes mapearon la infraestructura relacionada con la intrusión para descubrir patrones específicos. Vale la pena señalar que JumpCloud, la semana pasada, atribuyó el ataque a un "actor de amenazas sofisticado patrocinado por un estado-nación" no identificado.

"Los actores de amenazas de Corea del Norte demuestran un alto nivel de creatividad y conciencia estratégica en sus estrategias de selección", dijo el investigador de seguridad de SentinelOne, Tom Hegel, a The Hacker News. "Los hallazgos de la investigación revelan un enfoque exitoso y multifacético empleado por estos actores para infiltrarse en los entornos de los desarrolladores".

"Buscan activamente acceso a herramientas y redes que puedan servir como puertas de entrada a oportunidades más amplias. Es notable su tendencia a ejecutar múltiples niveles de intrusiones en la cadena de suministro antes de involucrarse en robos por motivos financieros".

Se dice que esta intrusión se usó como un "trampolín" para apuntar a las empresas de criptomonedas, dijo la agencia de noticias, lo que indica un intento por parte del adversario de generar ingresos ilegales para la nación afectada por las sanciones.

BundleBot un malware que se aprovecha de la IA y sus utilidades

Investigadores de Check Point han descubierto una nueva cepa de malware conocida como BundleBot, la cual ha estado operando sigilosamente aprovechándose de las técnicas de implementación de un archivo [.]NET, permitiendo a los actores de amenazas capturar información confidencial de los hosts comprometidos.

"BundleBot está abusando del paquete dotnet (archivo único), formato autónomo que da como resultado una detección estática muy baja o nula",  este archivo comúnmente se distribuye a través de anuncios de Facebook y cuentas comprometidas que conducen a sitios web disfrazados de utilidades de programas regulares, herramientas de IA y juegos.

Algunos de estos sitios web tienen como objetivo imitar a Google Bard, el chatbot de inteligencia artificial generativa conversacional de la compañía, incitando a las víctimas a descargar un archivo RAR falso ("Google_AI[.]rar") alojado en servicios legítimos de almacenamiento en la nube como Dropbox.

Al descargar este RAR comienza una cadena de infección desempaquetando varias cargas maliciosas que concluyen en la descarga de BundleBot ("RiotClientServices[.]dll") y un serializador de datos de paquetes de comando y control (C2) ("LirarySharing[.]dll").

Los ciber actores están buscando nuevos métodos de infectar a sus víctimas en este caso ajustándose al uso de las nuevas tecnologías a través de descargas maliciosas de supuestos softwares de IA.

Un nuevo troyano tipo RAT llamado HotRat, se propaga a través de software pirateado

Una nueva variante del malware tipo troyano denominada HotRat se esta distribuyendo a través de versiones piratas gratuitas de software y utilidades populares, como videojuegos, software de edición de imágenes y sonido y Microsoft Office.

Este troyano posee las siguientes capacidades:

• Robo de credenciales de inicio de sesión
• Billeteras de criptominería
• Captura de pantalla
• Pulsaciones de teclado
• Instalación de malware remotamente 
• Entre muchas otras capacidades de robo de información y espionaje

Según hallazgos anteriores este troyano ha estado presente al menos desde octubre del 2022, con la mayoría de las infecciones concentradas en Tailandia, Guyana, Libia, Surinam, Malí, Pakistán, Camboya, Sudáfrica e India. 

Su distribución es a través de descargas de tipo torrents con un script malicioso AutoHotkey (AHK) que inicia una cadena de infección diseñada para desactivar las soluciones antivirus en el host comprometido y en última instancia, lanzar la carga útil de HotRat utilizando un cargador de Visual Basic Script. 

Este troyano es reconocido por poseer una suite de comandos muy completa los cuales ejecutan un módulo [.]NET recuperado de un servidor remoto, lo que permite a los actores de amenazas detrás de la campaña ampliar sus funciones y capacidades cuando sea necesario. 

Chat GPT4 está siendo utilizado para robar información bancaria a través de anuncios falsos  

La llegada de las soluciones de Inteligencia Artificial han revolucionado la manera de obtener información, es así como se ha detectado una nueva campaña de phishing activa en la web a la espera de usuarios que estén buscando la última versión de Chat GPT, el chatbot de OpenAI.

En este caso los ciber actores estarían utilizando aplicaciones, sitios web comprometidos y extensiones falsas para robar información sensible y estafar a sus víctimas.

Investigadores de Eset habían detectado este año el uso de sitios falsos de ChatGPT y extensiones maliciosas para navegadores, e incluso aplicaciones que distribuyen troyanos para el robo de información bancaria.

Si un usuario interesado en este tipo de aplicaciones efectúa una búsqueda general en la web de Google con las palabras “Chat GPT 4”, o “Chat GPT for Android”, por ejemplo, uno de los primeros resultados que pueden aparecer, y dar impresión de ser original, lleva a una url falsa: chatgptui[.]com.

La forma de engaño es siempre la misma: simular ser el sitio real y hacer que los usuarios caigan en la trampa, aprovechando la popularidad creciente del chatbot y la IA.

En esta caso esta plataforma falsa no solicita un correo para confirmación ni validación, pero si los datos bancarios para la versión de pago de CHAT GPT a un precio mas económico y obteniendo así los datos del método de pago utilizado por la víctima.

Fallo en complemento de pagos WooCommerce permite secuestrar sitios web 

Tras la publicación de una falla de seguridad crítica revelada recientemente que afecta al complemento de WordPress de WooCommerce Payments, los actores de amenazas la han estado explotando activamente a través de una masiva campaña dirigida.

La falla, rastreada como CVE-2023-28121 (puntaje CVSS: 9.8), es un caso de omisión de autenticación que permite a los atacantes no autenticados hacerse pasar por usuarios arbitrarios y realizar algunas acciones como suplantación de usuario, incluido un administrador, lo que podría conducir a la toma de control total del sitio.

"Los ataques a gran escala contra la vulnerabilidad, asignados CVE-2023-28121, comenzaron el jueves 14 de julio de 2023 y continuaron durante el fin de semana, alcanzando un máximo de 1,3 millones de ataques contra 157.000 sitios el sábado 16 de julio de 2023", dijo el investigador de seguridad de Wordfence, Ram Gall.

Agencias gubernamentales de EE.UU. en alerta por vulnerabilidades 0 day de Windows y Office  

CISA ordenó a las agencias federales que mitiguen los días cero de ejecución remota de código que afectan a los productos de Windows y Office que fueron explotados por el grupo ciber actores RomCom con sede en Rusia en los ataques de phishing contra la OTAN.

Las fallas de seguridad (rastreadas colectivamente como CVE-2023-36884) también se agregaron a la lista de CISA de Vulnerabilidades Explotadas Conocidas.

Según la directiva operativa vinculante (BOD 22-01) emitida en noviembre de 2021, las Agencias del Poder Ejecutivo Civil Federal de EE. UU. (FCEB) ahora deben proteger los dispositivos Windows en sus redes contra ataques que explotan CVE-2023-36884. 

Las agencias federales tienen tres semanas, hasta el 8 de agosto, para proteger sus sistemas mediante la implementación de medidas de mitigación  compartidas por Microsoft hace una semana .

Si bien la falla aún no se ha solucionado, Microsoft se ha comprometido a entregar parches a través del proceso de lanzamiento mensual o una actualización de seguridad especial.

Error humano habría causado filtración de más de 5.600 registros de clientes de Virus Total  

Más de 5.600 clientes de virus total fueron expuestos tras una filtración de cuentas asociadas a clientes Premium, después de que un empleado subiera por error a la plataforma un archivo CSV que contenía esta información el mes pasado.

El archivo cargado contenía sus nombres y direcciones de correo electrónico corporativas. El jefe de gestión de productos del servicio de escaneo de malware en línea, también aseguró a los clientes afectados que el incidente fue causado por un error humano y no fue el resultado de un ataque cibernético o alguna vulnerabilidad de VirusTotal. 

Además, el archivo filtrado solo era accesible para los socios de VirusTotal y los analistas de ciberseguridad con una cuenta Premium en la plataforma.

Aquellos que usan cuentas anónimas o gratuitas no pueden acceder a la plataforma Premium y en consecuencia, no pudieron acceder al archivo filtrado.

Como informaron, el archivo filtrado pesaba 313 KB y contenía detalles sobre cuentas asociadas con entidades oficiales de EE. UU., incluido el Comando Cibernético, el Departamento de Justicia, la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA). 

Además, el archivo incluía cuentas vinculadas a agencias gubernamentales en Alemania, los Países Bajos, Taiwán y el Reino Unido.

"Es una lista de 5.600 nombres, incluidos los empleados del servicio de inteligencia estadounidense NSA y los servicios de inteligencia alemanes", dijo Der Spiegel . 

Una hora transcurrió desde que el archivo CSV fue publicado, apenas se dieron cuenta del error lo eliminaron inmediatamente y dieron las excusas correspondientes a sus clientes.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 24 al 30 de julio del 2023:

Objetivos observados durante semana de análisis: 

• Construcción e inmobiliaria
• Defensa y orden público
• Educación
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia
• Agricultura, ganadería, silvicultura y pesca - consumo
• Banca y Finanzas
• Entretenimiento, cultura y arte
• Transportes y servicios automotrices.
• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantesGobierno
• Infraestructura tecnológica
• Petróleo
• Energía
• Banca y Finanzas
• Seguros
• Retail y servicios de consumo
• Tecnología

• Construcción e inmobiliaria
• Defensa y orden público
• Educación

• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia
• Agricultura, ganadería, silvicultura y pesca - consumoEducación

• Banca y Finanzas
• Entretenimiento, cultura y arte
• Transportes y servicios automotrices.

• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantes

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
• Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
• Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
• Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
• Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
• Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
• Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.