ENTEL Weekly Threat Intelligence Brief del 24 de julio al 30 de julio de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

•    ALPHV/BlackCat Ransomware presenta API de fuga de datos para amplificar sus esfuerzos de fuga de datos y extorsión
•    APT rusa BlueBravo apunta activamente a entidades diplomáticas
•    STARK#MULE el malware que engaña a sus víctimas usando documentos militares de EE. UU como señuelo
•    El malware bancario Casbaneiro se oculta en Control de cuentas de usuario (UAC ) para pasar desapercibido
•    Billeteras de criptomonedas de usuarios Apple macOS en la mira de Infostealer Realst
•    El malware Decoy Dog mejora sus capacidades de evasión, amenazando redes empresariales
•    Nuevo Malware Nitrogen abusa de anuncios Google y Bing para propagarse
•    Zimbra publicó un aviso de seguridad que soluciona la falla Zero Day de los servidores de correo electrónico de
     Zimbra Collaboration Suite (ZCS).
•    Vulnerabilidad Zero Day de Barracuda explotada activamente por actores de amenaza vinculados al estado chino
•    Nueva Vulnerabilidad de procesadores Zen 2 de AMD explotadas activamente
•    Sistema de comunicaciones por radio afectados por vulnerabilidades de TETRA:BURST

ALPHV/BlackCat Ransomware presenta API de fuga de datos para amplificar sus esfuerzos de fuga de datos y extorsión

De acuerdo a una publicación del  grupo de investigadores VX-Underground, el grupo de Ransomware ALPHV/BlackCat está expandiendo su alcance con nuevos cambios en su sitio de extorsión que apuntan a el uso de una API  o interfaz de programación de aplicaciones, según los investigadores, esta nueva aplicación del grupo no es reciente, puesto que ha sido accesible durante meses, sin embargo, su acceso sólo está activo para un grupo selecto de usuarios con información privilegiada.

El sitio del grupo explica que la nueva característica permite a los usuarios “obtener actualizaciones desde el principio y sincronizar cada artículo con su base de datos. Después de eso, cualquier llamada de actualización posterior debería proporcionar el 'updatedDt' más reciente de artículos previamente sincronizados + 1 milisegundo".

Los malhechores también han proporcionado un rastreador de Python para que los visitantes obtengan convenientemente las últimas actualizaciones del sitio de fuga de datos.

Si bien no está claro el por qué el grupo ALPHV/BlackCat está exponiendo su API públicamente, se cree que, lo hacen por la disminución de las respuestas de pago por la extorsión de parte de las empresas comprometidas, como fue el caso de su más reciente víctima; la multinacional estadounidense de cosméticos Estée Lauder, que rechazó todos los intentos de éste grupo de negociación.

APT Rusa BlueBravo apunta activamente a entidades diplomáticas 

BlueBravo también conocido como APT29, fue descubierto en una campaña reciente de  spear-phishing con el objetivo final de infectar a usuarios asociados a cargos diplomáticos o instituciones de política exterior de países de toda Europa del Este. 

GraphicalProton fue descubierto por primera vez en mayo del 2023, y entre las nuevas capacidades que le dieron los actores de amenaza a ésta variante es la comunicarse con el comando y control a través de un servicio legítimo de Microsoft como lo es  OneDrive, a diferencia de los archivos ISO ó ZIP utilizados ev variantes anteriores.

STARK#MULE el malware que engaña a sus víctimas usando documentos militares de EE. UU como señuelo

En una investigación de Securonix, se ha evidenciado, una campaña de malware en curso que atrae a sus víctimas utilizando documentos relacionados con el ejército de EE. UU. Según los investigadores, la campaña está dirigida a usuarios de Corea y usa documentos que contienen información sobre los recursos de reclutamiento militar del Ejército de EE. UU como señuelo para engañar a sus víctimas. El vector de ataque inicial parece estar orientado a sitios web de comercio electrónico coreanos legítimos comprometidos que permiten a los actores de amenazas mezclarse con el tráfico legítimo de estos sitios web para evadir la detección cuando se trata de entregar malware y administrar el comando y control total en la máquina de la víctima.

El malware bancario Casbaneiro se oculta en Control de cuentas de usuario ( UAC ) para pasar desapercibido 

Casbaneiro es un troyano también conocido como Metamorfo o Ponteiro apareció en campañas masivas de malspam dirigidas a América Latina y se centró en el robo de credenciales de sitios web financieros.

De acuerdo a una reciente investigación de Sygnia, se ha evidenciado que las reciente campañas del malware Casbaneiro sigue usando las técnicas del phishing selectivo para iniciar su cadena de infección, que una vez consiguiendo comprometer el equipo de la víctima, utilizando en la carga útil un bypass de Control de cuentas de usuario (UAC) que permite a los actores de amenazas ejecutar código sin activar un aviso de UAC en el equipo de la víctima.

De acuerdo al análisis de la muestra por parte de los investigadores Casbaneiro tiene las siguientes características:

Casbaneiro_Dropper_Script:

• Se recuperaron un total de 86 muestras.
• La mayoría de las muestras se cargaron desde principios de 2023, aproximadamente 70 muestras.
• 58 muestras se cargaron primero desde México, otras se cargaron primero desde Panamá, España, Islas Vírgenes, India y Estados Unidos.

Casbaneiro_Directorio_Script:

• Se recuperaron un total de 170 muestras.
• La mayoría de las muestras se cargaron desde principios de 2023: aproximadamente 150 muestras.
• Se cargaron 120 muestras de los Estados Unidos, 30 de México y algunas se cargaron por primera vez desde Panamá y Canadá.

Casbaneiro_Trojan_DLL:

• Se recuperaron un total de 16 muestras.
• Todas las muestras se cargaron desde febrero de 2023 desde los Estados Unidos.

Billeteras de criptomonedas de usuarios Apple macOS en la mira de Infostealer Realst 

Investigadores han descubierto una nueva familia de infostealer llamada Realst el cual afecta sistemas basados en Apple macOS 14 Sonoma, el próximo lanzamiento del sistema operativo. 

Está escrito en el lenguaje de programación Rust, el malware se distribuye en forma de juegos de cadena de bloques falsos y es capaz de "vaciar billeteras criptográficas y robar contraseñas almacenadas y datos del navegador" de máquinas Windows y macOS.  

Según los investigadores Realst Infostealer se distribuye a través de sitios web maliciosos que anuncian juegos falsos con nombres como Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles y SaintLegend. 

Hasta la fecha se han detectado 16 variantes en 59 muestras, y podría estar vinculada con otra campaña de robo de información llamada Pureland , que salió a la luz a principios de marzo. Las máquinas con Windows, por otro lado, están infectadas con RedLine Stealer. 

Este malware está claramente desarrollado por ciber actores con un buen conocimiento del entorno macOS y no es solo una modificación de código escrito en otra plataforma. Es probable que el equipo de desarrollo detrás de RedLine Stealer sea completamente diferente del que está detrás de Realst, ya que hay pocas superposiciones entre el desarrollo para Windows y el desarrollo para macOS. 

El malware Decoy Dog mejora sus capacidades de evasión, amenazando redes empresariales 

Investigadores de Infoblox han descubierto Decoy Dog un malware basado en Pupy RAT, un troyano de acceso remoto y de código abierto. 

Entre las nuevas capacidades descubierta figuran la capacidad de mover a las víctimas a otro controlador, lo que les permite mantener la comunicación con las máquinas comprometidas y permanecer ocultos durante largos períodos de tiempo incluso más de un año. 

Otras capacidades que posee este malware permiten ejecutar código Java arbitrario en el cliente forzando que se conecte a controladores de emergencia mediante un mecanismo similar a un algoritmo de generación de dominio DNS (DGA) tradicional, pero con los dominios de Decoy Dog diseñados para responder a consultas de DNS replicadas en clientes comprometidos, especialmente redes empresariales. 

Los orígenes de Decoy Dog aún no están claros, pero se sospecha que es operado por un puñado de piratas informáticos del estado-nación, que emplean tácticas distintas, pero responden a solicitudes entrantes que coinciden con la estructura de comunicación del cliente. 

Nuevo Malware Nitrogen abusa de anuncios Google y Bing para propagarse

Se ha evidenciado en una nueva campaña, la propagacion del nuevo malware Nitrogen que utiliza anuncios de Google y Bing para promover sitios de software falsos que infectan a los usuarios desprevenidos con cargas útiles de Cobalt Strike y ransomware, que apunta a organizaciones tecnológicas y sin fines de lucro en América del Norte.

De acuerdo al investigación de Sophos, el malware utiliza aplicaciones falsas que suplantan a software legítomo como AnyDesk, Cisco AnyConnect VPN, TreeSize Free y WinSCP para engañar a sus  víctimas y propagarse. 

La cadena de infección observada en la investigación, comienza con publicidad maliciosa a través de Google y Bing Ads para atraer a los usuarios a sitios de WordPress comprometidos y páginas de phishing que se hacen pasar por sitios populares de distribución de software, donde son engañados para que descarguen instaladores ISO troyanos.

Zimbra publicó un aviso de seguridad que soluciona la falla Zero Day de los servidores de correo electrónico de Zimbra Collaboration Suite (ZCS)

De acuerdo a publicación de CISA, fue agregado a su Catálogo de Vulnerabilidades Explotadas Conocidas,  una nueva vulnerabilidad rastreada con el CVE-2023-37580 y llamada Vulnerabilidad de secuencias de comandos entre sitios (XSS) de Zimbra Collaboration (ZCS), que afecta Zimbra Collaboration Suite versión 8.8.15, permitiendo a los actores de amenaza afectar potencialmente la confidencialidad e integridad de sus datos.

Vulnerabilidad Zero Day de Barracuda explotada activamente por actores de amenaza vinculados al estado chino a través de la backdoor SUBMARINE 

De acuerdo a una investigación de Mandiant, un actor de amenaza vinculado a china rastreado con el nombre de UNC4841, está explotando activamete un subconjunto de dispositivos Barracuda ESG para utilizarlo como vector de espionaje, apuntando a múltiples sectores y regiones del mundo, especialmente las de índole gubernamental.   

Según lo observado en la investigación, los actores de amenaza usan la técnica de phishing a través de correo con archivos adjuntos maliciosos, especialmente  diseñados para explotar CVE-2023-2868 y  obtener acceso inicial a los dispositivos Barracuda ESG vulnerables a través de la backdoor llamada  detalles de una "nueva puerta trasera persistente" llamada SUBMARINE, usando códigos que intentan hacerse pasar por módulos o servicios ESG legítimos de Barracuda para mantener persistencia,tal es el caso de:  SALTWATER, SEASPY y SEASIDE, así mismo usa el backdoor de los dispositivos Barracuda para efectuar el movimiento lateral. 

Nueva Vulnerabilidad de procesadores Zen 2 de AMD explotadas activamente

De acuerdo a una investigación de Google Project Zero, la falla es rastreda con el  CVE-2023-20593 (puntaje CVSS: 6.5)  y permite a los actores de amenaza exfiltrar datos de los equipos de la víctima a una velocidad de 30 kb/s por núcleo del procesador. 

La vulnerabilidad es parte de una categoría más amplia de debilidades llamadas ataques de ejecución especulativa, en la que se abusa de la técnica de optimización ampliamente utilizada en las CPU modernas para acceder a las claves criptográficas de los registros de la CPU, que incluso puede ser explotada a través de JavaScript en un sitio web en la infraestructura web Cloudflare, evitando así la necesidad de acceso físico a la computadora o servidor.

Sistema de comunicaciones por radio afectados por vulnerabilidades de TETRA:BURST 

Se han dado a conocer 5 vulnerabilidades de seguridad que estarían afectando a entidades gubernamentales y sectores de infraestructura crítica, en donde se había expuesto información confidencial. 

Este sistema de comunicaciones se utiliza en más de 100 países y fue Estandarizado por el Instituto Europeo de Normas de Telecomunicaciones (ETSI) en 1995. En primera instancia fue utilizado para controlar las comunicaciones policiales en EE.UU, pero también se emplea para controlar sistemas críticos como servicios públicos de electricidad, una agencia estatal de control fronterizo, una refinería de petróleo, plantas químicas, un importante sistema de transporte público, tres aeropuertos internacionales y una base de entrenamiento del Ejército de los EE. UU. 

Los investigadores a través de la ingeniería inversa descubrieron cinco deficiencias, que van de baja a crítica en severidad, que permiten "ataques prácticos de intercepción y manipulación por parte de adversarios activos y pasivos, a continuación se detallan las vulnetrabilidades descubiertas: 

• CVE-2022-24400 - Un fallo en el algoritmo de autenticación permite a los atacantes poner a 0 la clave cifrada derivada (DCK). 
• CVE-2022-24401 - El generador del flujo de claves de cifrado de la interfaz aérea (AIE) se basa en la hora de la red, que se difunde públicamente de forma no autenticada. Esto permite ataques de descifrado. 
• CVE-2022-24402 - El algoritmo TEA1 tiene una puerta trasera que reduce la clave original de 80 bits a un tamaño de clave trivialmente forzable en hardware de consumo en cuestión de minutos. 
• CVE-2022-24403 - El esquema criptográfico utilizado para ofuscar las identidades de radio tiene un diseño débil que permite a los atacantes des anonimizar y rastrear a los usuarios. 
• CVE-2022-24404 - La falta de autenticación de texto cifrado en AIE permite ataques de maleabilidad. 

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 31 de Julio al 06 de agosto del 2023.

Objetivos observados durante semana de análisis: 

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantesGobierno
• Infraestructura tecnológica
• Petróleo
• Energía
• Banca y Finanzas
• Seguros
• Retail y servicios de consumo
• Tecnología

DEFCON 1

• Banca y Finanzas
• Servicios de salud, sociales y farmacia

DEFCON 2

• Construcción e inmobiliaria
• Infraestructura tecnológica
• Servicios empresariales y comercio

DEFCON 3

• Infraestructura tecnológica - Componentes
• Educación
• Entretenimiento, cultura y arte
• Petróleo

DEFCON 4

• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Agricultura, ganadería, silvicultura y pesca - producción
• Defensa y orden público
• Gobierno
• Organizaciones sin fines de lucro
• Servicios básicos y sanitarios
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.