El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
• ALPHV/BlackCat Ransomware presenta API de fuga de datos para amplificar sus esfuerzos de fuga de datos y extorsión
• APT rusa BlueBravo apunta activamente a entidades diplomáticas
• STARK#MULE el malware que engaña a sus víctimas usando documentos militares de EE. UU como señuelo
• El malware bancario Casbaneiro se oculta en Control de cuentas de usuario (UAC ) para pasar desapercibido
• Billeteras de criptomonedas de usuarios Apple macOS en la mira de Infostealer Realst
• El malware Decoy Dog mejora sus capacidades de evasión, amenazando redes empresariales
• Nuevo Malware Nitrogen abusa de anuncios Google y Bing para propagarse
• Zimbra publicó un aviso de seguridad que soluciona la falla Zero Day de los servidores de correo electrónico de
Zimbra Collaboration Suite (ZCS).
• Vulnerabilidad Zero Day de Barracuda explotada activamente por actores de amenaza vinculados al estado chino
• Nueva Vulnerabilidad de procesadores Zen 2 de AMD explotadas activamente
• Sistema de comunicaciones por radio afectados por vulnerabilidades de TETRA:BURST
ALPHV/BlackCat Ransomware presenta API de fuga de datos para amplificar sus esfuerzos de fuga de datos y extorsión
De acuerdo a una publicación del grupo de investigadores VX-Underground, el grupo de Ransomware ALPHV/BlackCat está expandiendo su alcance con nuevos cambios en su sitio de extorsión que apuntan a el uso de una API o interfaz de programación de aplicaciones, según los investigadores, esta nueva aplicación del grupo no es reciente, puesto que ha sido accesible durante meses, sin embargo, su acceso sólo está activo para un grupo selecto de usuarios con información privilegiada.
El sitio del grupo explica que la nueva característica permite a los usuarios “obtener actualizaciones desde el principio y sincronizar cada artículo con su base de datos. Después de eso, cualquier llamada de actualización posterior debería proporcionar el 'updatedDt' más reciente de artículos previamente sincronizados + 1 milisegundo".
Los malhechores también han proporcionado un rastreador de Python para que los visitantes obtengan convenientemente las últimas actualizaciones del sitio de fuga de datos.
Si bien no está claro el por qué el grupo ALPHV/BlackCat está exponiendo su API públicamente, se cree que, lo hacen por la disminución de las respuestas de pago por la extorsión de parte de las empresas comprometidas, como fue el caso de su más reciente víctima; la multinacional estadounidense de cosméticos Estée Lauder, que rechazó todos los intentos de éste grupo de negociación.
APT Rusa BlueBravo apunta activamente a entidades diplomáticas
BlueBravo también conocido como APT29, fue descubierto en una campaña reciente de spear-phishing con el objetivo final de infectar a usuarios asociados a cargos diplomáticos o instituciones de política exterior de países de toda Europa del Este.
GraphicalProton fue descubierto por primera vez en mayo del 2023, y entre las nuevas capacidades que le dieron los actores de amenaza a ésta variante es la comunicarse con el comando y control a través de un servicio legítimo de Microsoft como lo es OneDrive, a diferencia de los archivos ISO ó ZIP utilizados ev variantes anteriores.
STARK#MULE el malware que engaña a sus víctimas usando documentos militares de EE. UU como señuelo
En una investigación de Securonix, se ha evidenciado, una campaña de malware en curso que atrae a sus víctimas utilizando documentos relacionados con el ejército de EE. UU. Según los investigadores, la campaña está dirigida a usuarios de Corea y usa documentos que contienen información sobre los recursos de reclutamiento militar del Ejército de EE. UU como señuelo para engañar a sus víctimas. El vector de ataque inicial parece estar orientado a sitios web de comercio electrónico coreanos legítimos comprometidos que permiten a los actores de amenazas mezclarse con el tráfico legítimo de estos sitios web para evadir la detección cuando se trata de entregar malware y administrar el comando y control total en la máquina de la víctima.
El malware bancario Casbaneiro se oculta en Control de cuentas de usuario ( UAC ) para pasar desapercibido
Casbaneiro es un troyano también conocido como Metamorfo o Ponteiro apareció en campañas masivas de malspam dirigidas a América Latina y se centró en el robo de credenciales de sitios web financieros.
De acuerdo a una reciente investigación de Sygnia, se ha evidenciado que las reciente campañas del malware Casbaneiro sigue usando las técnicas del phishing selectivo para iniciar su cadena de infección, que una vez consiguiendo comprometer el equipo de la víctima, utilizando en la carga útil un bypass de Control de cuentas de usuario (UAC) que permite a los actores de amenazas ejecutar código sin activar un aviso de UAC en el equipo de la víctima.
De acuerdo al análisis de la muestra por parte de los investigadores Casbaneiro tiene las siguientes características:
Casbaneiro_Dropper_Script:
Casbaneiro_Directorio_Script:
Casbaneiro_Trojan_DLL:
Billeteras de criptomonedas de usuarios Apple macOS en la mira de Infostealer Realst
Investigadores han descubierto una nueva familia de infostealer llamada Realst el cual afecta sistemas basados en Apple macOS 14 Sonoma, el próximo lanzamiento del sistema operativo.
Está escrito en el lenguaje de programación Rust, el malware se distribuye en forma de juegos de cadena de bloques falsos y es capaz de "vaciar billeteras criptográficas y robar contraseñas almacenadas y datos del navegador" de máquinas Windows y macOS.
Según los investigadores Realst Infostealer se distribuye a través de sitios web maliciosos que anuncian juegos falsos con nombres como Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles y SaintLegend.
Hasta la fecha se han detectado 16 variantes en 59 muestras, y podría estar vinculada con otra campaña de robo de información llamada Pureland , que salió a la luz a principios de marzo. Las máquinas con Windows, por otro lado, están infectadas con RedLine Stealer.
Este malware está claramente desarrollado por ciber actores con un buen conocimiento del entorno macOS y no es solo una modificación de código escrito en otra plataforma. Es probable que el equipo de desarrollo detrás de RedLine Stealer sea completamente diferente del que está detrás de Realst, ya que hay pocas superposiciones entre el desarrollo para Windows y el desarrollo para macOS.
El malware Decoy Dog mejora sus capacidades de evasión, amenazando redes empresariales
Investigadores de Infoblox han descubierto Decoy Dog un malware basado en Pupy RAT, un troyano de acceso remoto y de código abierto.
Entre las nuevas capacidades descubierta figuran la capacidad de mover a las víctimas a otro controlador, lo que les permite mantener la comunicación con las máquinas comprometidas y permanecer ocultos durante largos períodos de tiempo incluso más de un año.
Otras capacidades que posee este malware permiten ejecutar código Java arbitrario en el cliente forzando que se conecte a controladores de emergencia mediante un mecanismo similar a un algoritmo de generación de dominio DNS (DGA) tradicional, pero con los dominios de Decoy Dog diseñados para responder a consultas de DNS replicadas en clientes comprometidos, especialmente redes empresariales.
Los orígenes de Decoy Dog aún no están claros, pero se sospecha que es operado por un puñado de piratas informáticos del estado-nación, que emplean tácticas distintas, pero responden a solicitudes entrantes que coinciden con la estructura de comunicación del cliente.
Nuevo Malware Nitrogen abusa de anuncios Google y Bing para propagarse
Se ha evidenciado en una nueva campaña, la propagacion del nuevo malware Nitrogen que utiliza anuncios de Google y Bing para promover sitios de software falsos que infectan a los usuarios desprevenidos con cargas útiles de Cobalt Strike y ransomware, que apunta a organizaciones tecnológicas y sin fines de lucro en América del Norte.
De acuerdo al investigación de Sophos, el malware utiliza aplicaciones falsas que suplantan a software legítomo como AnyDesk, Cisco AnyConnect VPN, TreeSize Free y WinSCP para engañar a sus víctimas y propagarse.
La cadena de infección observada en la investigación, comienza con publicidad maliciosa a través de Google y Bing Ads para atraer a los usuarios a sitios de WordPress comprometidos y páginas de phishing que se hacen pasar por sitios populares de distribución de software, donde son engañados para que descarguen instaladores ISO troyanos.
Zimbra publicó un aviso de seguridad que soluciona la falla Zero Day de los servidores de correo electrónico de Zimbra Collaboration Suite (ZCS)
De acuerdo a publicación de CISA, fue agregado a su Catálogo de Vulnerabilidades Explotadas Conocidas, una nueva vulnerabilidad rastreada con el CVE-2023-37580 y llamada Vulnerabilidad de secuencias de comandos entre sitios (XSS) de Zimbra Collaboration (ZCS), que afecta Zimbra Collaboration Suite versión 8.8.15, permitiendo a los actores de amenaza afectar potencialmente la confidencialidad e integridad de sus datos.
Vulnerabilidad Zero Day de Barracuda explotada activamente por actores de amenaza vinculados al estado chino a través de la backdoor SUBMARINE
De acuerdo a una investigación de Mandiant, un actor de amenaza vinculado a china rastreado con el nombre de UNC4841, está explotando activamete un subconjunto de dispositivos Barracuda ESG para utilizarlo como vector de espionaje, apuntando a múltiples sectores y regiones del mundo, especialmente las de índole gubernamental.
Según lo observado en la investigación, los actores de amenaza usan la técnica de phishing a través de correo con archivos adjuntos maliciosos, especialmente diseñados para explotar CVE-2023-2868 y obtener acceso inicial a los dispositivos Barracuda ESG vulnerables a través de la backdoor llamada detalles de una "nueva puerta trasera persistente" llamada SUBMARINE, usando códigos que intentan hacerse pasar por módulos o servicios ESG legítimos de Barracuda para mantener persistencia,tal es el caso de: SALTWATER, SEASPY y SEASIDE, así mismo usa el backdoor de los dispositivos Barracuda para efectuar el movimiento lateral.
Nueva Vulnerabilidad de procesadores Zen 2 de AMD explotadas activamente
De acuerdo a una investigación de Google Project Zero, la falla es rastreda con el CVE-2023-20593 (puntaje CVSS: 6.5) y permite a los actores de amenaza exfiltrar datos de los equipos de la víctima a una velocidad de 30 kb/s por núcleo del procesador.
La vulnerabilidad es parte de una categoría más amplia de debilidades llamadas ataques de ejecución especulativa, en la que se abusa de la técnica de optimización ampliamente utilizada en las CPU modernas para acceder a las claves criptográficas de los registros de la CPU, que incluso puede ser explotada a través de JavaScript en un sitio web en la infraestructura web Cloudflare, evitando así la necesidad de acceso físico a la computadora o servidor.
Sistema de comunicaciones por radio afectados por vulnerabilidades de TETRA:BURST
Se han dado a conocer 5 vulnerabilidades de seguridad que estarían afectando a entidades gubernamentales y sectores de infraestructura crítica, en donde se había expuesto información confidencial.
Este sistema de comunicaciones se utiliza en más de 100 países y fue Estandarizado por el Instituto Europeo de Normas de Telecomunicaciones (ETSI) en 1995. En primera instancia fue utilizado para controlar las comunicaciones policiales en EE.UU, pero también se emplea para controlar sistemas críticos como servicios públicos de electricidad, una agencia estatal de control fronterizo, una refinería de petróleo, plantas químicas, un importante sistema de transporte público, tres aeropuertos internacionales y una base de entrenamiento del Ejército de los EE. UU.
Los investigadores a través de la ingeniería inversa descubrieron cinco deficiencias, que van de baja a crítica en severidad, que permiten "ataques prácticos de intercepción y manipulación por parte de adversarios activos y pasivos, a continuación se detallan las vulnetrabilidades descubiertas:
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 31 de Julio al 06 de agosto del 2023.
Objetivos observados durante semana de análisis:
DEFCON 1
DEFCON 2
DEFCON 3
DEFCON 4