ENTEL Weekly Threat Intelligence Brief del 31 de julio al 6 de agosto de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Nueva variante de Abyss Locker apunta a servidores VMware ESXi
• Clop ransomware ahora usa torrents para filtrar datos y evitar caídas de sus sitios
• Ciber actores utilizan un nuevo malware para infectar dispositivos con brechas “air-gapped” en Europa del Este
• Nuevo malware WikiLoader emplea método de evasión sofisticado
• Campaña Meow se reactiva y ataca a Jupyter
• Ciber actores entrenan chatbots de IA para ataques de phishing y malware
• Ciber actores explotan BleedingPipe RCE para apuntar a servidores y jugadores de Minecraft
• Hackers prorrusos reclaman ataques a bancos italianos
• Nuevo error crítico de PaperCut expone servidores sin parches a ataques RCE
• Explotan día cero de Salesforce en un ataque de phishing en Facebook
• F5 publica vulnerabilidades en sus productos BIG y AMP

Nueva variante de Abyss Locker apunta a servidores VMware ESXi

Investigadores de MalwareHunterTeam descubrieron una nueva variante del ransomware Abyss Locker diseñado específicamente para atacar servidores VMware ESXi basados ​​en Linux. Esta variante es parte de la familia más grande de ransomware Abyss, que ha estado activa desde 2019 y se dirige a varias plataformas y sistemas.

La versión Linux de Abyss Locker utiliza técnicas de ataque sofisticadas para obtener acceso no autorizado a los servidores VMware ESXi. 

Aprovecha los ataques de fuerza bruta SSH para explotar credenciales débiles o comprometidas para obtener acceso al sistema. 

Una vez que el ransomware obtiene acceso al servidor VMware ESXi, procede a cifrar las máquinas virtuales, dejándolas inaccesibles e inutilizables. 

Después del cifrado, los actores de amenazas arrojan notas de rescate que exigen el pago en criptomoneda, generalmente Bitcoin, por la clave de descifrado.

Para más información visitar: 

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1671/

Clop ransomware ahora usa torrents para filtrar datos y evitar caídas de sus sitios

El grupo de ransomware Clop el cual ha afectado a casi 600 organizaciones en todo el mundo gracias a la explotación de MOVEit ha alterado una vez más las tácticas de extorsión y ahora está utilizando torrents para filtrar datos robados en los ataques.

El 14 de junio, el grupo de ransomware comenzó a extorsionar a sus víctimas, agregando nombres lentamente a su sitio de fuga de datos Tor y, finalmente, publicando los archivos.

Sin embargo, la filtración de datos a través de un sitio Tor presenta algunos inconvenientes, ya que la velocidad de descarga es lenta, lo que hace que la filtración, en algunos casos, no sea tan dañina como podría ser si fuera más fácil acceder a los datos.

Para superar esto, Clop creó sitios web normales para filtrar el robo de algunas de las víctimas del robo de datos de MOVEit, pero estos tipos de dominios son más fáciles de eliminar para las fuerzas del orden y las empresas, debido a esto y como una nueva solución a estos problemas, Clop ha comenzado a usar torrents para distribuir datos robados del ataque MOVEit.

Como parte de este nuevo método de extorsión, Clop ha creado un nuevo sitio Tor que brinda instrucciones sobre cómo usar clientes de torrent para descargar los datos filtrados y listas de enlaces magnéticos para las veinte víctimas afectadas hasta ahora.

Para más información de Cl0p visitar: 

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1628/
• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/817/

Ciber actores utilizan un nuevo malware para infectar dispositivos con brechas “air-gapped” en Europa del Este

Ciber actores patrocinados por el estado chino han enfocado sus ataques a organizaciones industriales con un nuevo malware que puede robar datos de sistemas con brechas air-gapped.

Los sistemas con air-gapped generalmente cumplen funciones críticas y están aislados de la red empresarial y de la Internet pública, ya sea físicamente o a través de software y dispositivos de red.

Según los hallazgos, los ciber actores utilizaron al menos 15 implantes distintos en ataques en Europa del Este, cada uno para una etapa distinta de la operación, así como su familia de malware 'FourteenHi'.

Kaspersky dice que los ataques comenzaron en abril del año pasado e involucraron tres etapas separadas. 

Los implantes en la fase inicial establecieron persistencia y acceso remoto a los sistemas comprometidos y recopilaron datos útiles para el reconocimiento.

En la segunda etapa, APT31 lanza malware más especializado que puede robar datos de sistemas aislados mediante la propagación USB.

Finalmente, en la tercera etapa del ataque, los ciber actores utilizan implantes que pueden cargar los datos recopilados en sus servidores de comando y control (C2).

El malware que se dirige a sistemas aislados consta de cuatro módulos que se describen a continuación.

• Primer módulo: perfila las unidades extraíbles conectadas al sistema, recopila archivos, efectúa capturas de pantalla y títulos de ventanas, además coloca cargas útiles adicionales en los dispositivos infectados.
• Segundo módulo: infecta las unidades extraíbles al copiar un ejecutable legítimo de McAfee que es vulnerable al secuestro de DLL y una carga útil de DLL maliciosa en el directorio raíz del dispositivo, y los configura como "ocultos". La herramienta también crea un archivo LNK señuelo que desencadena la infección si la víctima lo inicia.
• Tercer módulo: ejecuta un script por lotes para recopilar datos del dispositivo y guardar el resultado en la carpeta "$RECYCLE.BIN", desde donde el primer módulo lo recopilará.
• Cuarto módulo: una variante del primer módulo visto en algunos ataques actúa como cuentagotas de carga útil, registrador de teclas, herramienta de captura de pantalla y ladrón de archivos.

Los archivos robados se archivan usando WinRAR y luego se almacenan en carpetas locales temporales creadas por el malware en "C[:]\ProgramData\NetWorks\". En última instancia, los archivos se extraen hacia Dropbox.

Campaña Meow se reactiva y ataca a Jupyter

Durante 2017 y 2020 se observó una campaña extraña para esos años denominada 'Meow', dirigida a bases de datos no seguras como MongoDB, Elasticsearch, Cassandra, CouchDB y otro software como clústeres de Hadoop, FTP, Jenkins, etc. El Modus Operandi de los cibercatores fue encontrar una instancia expuesta, borrando todo y destruyendo datos sin ninguna explicación.

Un honeypot de los investigadores de aqua, una instancia de Jupyter Notebook, capturó el 31 de julio una campaña renovada de 'Meow'. 

El script 'foo' contenía 1354 direcciones IP, dirigidas a las bases de datos de Elasticsearch y MongoDB. Basado en un comentario en el guión, estos datos fueron tomados de Shodan.

Tres días después, se utilizó otro script, 'bar', para atacar a través de nuestro honeypot. Es un script más modesto con solo 15 direcciones IP. Parece que se dirige a los clústeres de Hadoop, pero la función de eliminación usa la biblioteca Pymongo, que es más adecuada para las instancias de MongoDB. 

Los scripts 'foo' y 'bar' se descargaron del servidor de archivos compartidos alojado en 'bitcoinshell[.]mooo[.]com'. Cualquiera puede abrir una cuenta y almacenar archivos en este servidor.  

Un análisis más detallado del servidor de almacenamiento de archivos muestra que la marca de tiempo más antigua está en el archivo test[.]html, desde 2017, que está cerca de la documentación del primer ataque. Los archivos actualizados 'foo' y 'bar' muestran que fueron modificados recientemente.

Hackers prorrusos reclaman ataques a bancos italianos

Un grupo de ciber actores prorruso se ha atribuido la responsabilidad de los ataques cibernéticos a bancos, empresas y agencias gubernamentales italianos que inundaron las redes e interrumpieron los servicios.

La agencia de ciberseguridad de Italia dijo el martes que había detectado ataques distribuidos de denegación de servicio (DDoS) contra los sitios web de al menos cinco bancos, incluido Intesa Sanpaolo, el banco más grande de Italia. 

En un ataque DDoS, los sitios web se inundan con tráfico basura con el objetivo de hacerlos inoperables.

El grupo, NoName057(16), lanzó ataques cibernéticos por primera vez en Italia el lunes 31 de julio del 2023 y continuó apuntando a los servicios del país.

Además de los bancos, NoName057(16) afirmó haber pirateado los sitios web de una empresa italiana de suministro de agua, un periódico económico nacional y un sitio web de transporte público. En el momento de escribir este artículo, estos sitios web aún están inactivos.

Los ataques son otro ejemplo de hackeos por motivos geopolíticos llevados a cabo por grupos prorrusos.

En una publicación de Telegram previa a los ataques, el grupo llamó a los funcionarios del gobierno italiano “rusófobos” y los criticó por apoyar a Ucrania. “Una vez más, recordamos a las autoridades italianas rusofóbicas que tales acciones no pasarán desapercibidas”, dijeron los ciber actores.

NoName057(16) es conocido por sus ataques contra Ucrania y sus aliados. En marzo, apuntó al sitio web del servicio de impuestos de Polonia y, en enero, a los sitios web de los candidatos a las elecciones presidenciales Checas.

El grupo opera principalmente a través de Telegram, asumiendo la responsabilidad de los ataques y amenazando a otros en mensajes a sus seguidores.

Nuevo malware WikiLoader emplea método de evasión sofisticado

Los investigadores de Proofpoint identificaron un nuevo malware llamado WikiLoader. Se identificó por primera vez en diciembre del 2022 y lo entregó TA544, un actor que generalmente usa el malware Ursnif para atacar a organizaciones italianas.

WikiLoader es un descargador sofisticado con el objetivo de instalar una segunda carga útil de malware. El malware contiene interesantes técnicas de evasión e implementación personalizada de código diseñado para dificultar la detección y el análisis. Es probable que WikiLoader se haya desarrollado como un malware que se puede alquilar como MaaS.

Los investigadores descubrieron al menos ocho campañas que distribuyen WikiLoader desde diciembre del 2022. Las campañas comenzaron con correos electrónicos que contenían archivos adjuntos de Microsoft Excel, OneNote o en PDF. Proofpoint ha observado WikiLoader distribuido por al menos dos actores de amenazas, TA544 y TA551, ambos dirigidos a Italia. Si bien la mayoría de los actores de amenazas cibernéticas se han alejado de los documentos habilitados para macros como vehículos para la entrega de malware, TA544 ha seguido usándolos en cadenas de ataque, incluso para entregar WikiLoader. 

Las campañas de WikiLoader más notables se observaron el 27 de diciembre de 2022, el 8 de febrero de 2023 y el 11 de julio de 2023. Se ha observado que WikiLoader instala Ursnif como carga útil de seguimiento.

Hasta ahora, solo se ha observado que WikiLoader entrega Ursnif como una carga útil de segunda etapa. Sin embargo, dado su uso por múltiples actores de amenazas, especialmente aquellos que operan como IAB, utilicen WikiLoader en el futuro como un mecanismo para entregar cargas útiles de malware adicionales. 

Ciber actores entrenan chatbots de IA para ataques de phishing y malware

Dado el surgimiento de WormGPT, un clon de ChatGPT entrenado en datos enfocados en malware, ha surgido una nueva herramienta de piratería de inteligencia artificial generativa llamada FraudGPT, y al menos otra está en desarrollo que supuestamente se basa en el experimento de IA de Google, Bard.

Ambos bots impulsados ​​por IA son el trabajo de la misma persona, que parece estar inmersa en el juego de proporcionar chatbots entrenados específicamente para fines maliciosos que van desde el phishing y la ingeniería social hasta la explotación de vulnerabilidades y la creación de malware.

FraudGPT salió el 25 de julio y ha sido anunciado en varios foros de hackers por un usuario de nombre CanadianKingpin12, quien dice que la herramienta está destinada a estafadores, ciber actores y spammers.

Una investigación de la empresa de ciberseguridad SlashNext revela que CanadianKingpin12 está entrenando activamente nuevos chatbots utilizando conjuntos de datos sin restricciones provenientes de la web oscura o basándose en modelos sofisticados de lenguaje extenso desarrollados para combatir el ciberdelito.

CanadianKingpin12 afirmó estar trabajando en DarkBART, una "versión oscura" del chatbot de inteligencia artificial generativa conversacional de Google.

Los investigadores también descubrieron que el anunciante también tenía acceso a otro gran modelo de lenguaje llamado DarkBERT desarrollado por investigadores de Corea del Sur y entrenado en datos de la web oscura, pero para combatir el ciberdelito.

Ciber actores explotan BleedingPipe RCE para apuntar a servidores y jugadores de Minecraft

Ciber actores están explotando activamente una vulnerabilidad de ejecución remota de código 'BleedingPipe' en mods de Minecraft para ejecutar comandos maliciosos en servidores y clientes, lo que les permite tomar el control de los dispositivos.

BleedingPipe es una vulnerabilidad que se encuentra en muchos mods de Minecraft causada por el uso incorrecto de la deserialización  en la clase 'ObjectInputStream' en Java para intercambiar paquetes de red entre servidores y clientes.

Luego, los actores de amenazas pueden usar esos servidores hackeados para explotar las fallas en las mismas modificaciones de Minecraft que usan los jugadores que se conectan al servidor, lo que les permite instalar malware en esos dispositivos también.

En un nuevo informe de una comunidad de seguridad de Minecraft (MMPA), los investigadores descubrieron que la falla afecta a muchas modificaciones de Minecraft que se ejecutan en 1.7.10/1.12.2 Forge, que utiliza un código de deserialización inseguro.

Los primeros signos de explotación de BleedingPipe aparecieron en marzo de 2022, pero los desarrolladores de mods los solucionaron rápidamente.

Sin embargo, a principios del mes de agosto de 2023, una publicación en el foro de Forge advirtió sobre la explotación activa a gran escala utilizando un RCE desconocido de día cero para robar las cookies de sesión de Discord y Steam de los jugadores.

MMPA dice que un actor de amenazas está buscando activamente servidores de Minecraft en Internet que se vean afectados por esta falla para realizar ataques, por lo que es esencial reparar cualquier modificación vulnerable instalada en los servidores. Cabe destacar que, con más de 350 millones de copias vendidas desde su lanzamiento en 2011, Minecraft es el videojuego más vendido de la historia.

Nuevo error crítico de PaperCut expone servidores sin parches a ataques RCE

PaperCut solucionó recientemente una vulnerabilidad de seguridad crítica en su software de gestión de impresión NG/MF que permite a los atacantes no autenticados obtener la ejecución remota de código en servidores Windows sin parches.

Rastreada como CVE-2023-39143, la falla es el resultado de una cadena de debilidades transversales de dos rutas descubiertas por los investigadores de seguridad de Horizon3 que permite a los actores de amenazas leer, eliminar y cargar archivos arbitrarios en sistemas comprometidos luego de ataques de baja complejidad que no requieren la interacción del usuario.

Si bien sólo afecta a los servidores en configuraciones no predeterminadas donde se alterna la configuración de integración de dispositivos externos, Horizon3 dijo en un informe publicado el viernes que la mayoría de los servidores de Windows PaperCut lo tienen habilitado.

Los administradores que no pueden instalar actualizaciones de seguridad de inmediato (como recomienda Horizon3) pueden agregar solo las direcciones IP que necesitan acceso a una lista de permitidos.

Microsoft vinculó los ataques dirigidos a los servidores PaperCut con las pandillas de ransomware Clop y LockBit, que utilizaron el acceso para robar datos corporativos de los sistemas comprometidos.

En estos ataques de robo de datos, la operación de ransomware aprovechó la función ''Print Archiving'' que guarda todos los documentos enviados a través de los servidores de impresión PaperCut.

Casi dos semanas después, Microsoft reveló que los grupos de piratería respaldados por el estado iraní rastreados como Muddywater y APT35 también se unieron al ataque en curso.
 

Explotan día cero de Salesforce en un ataque de phishing en Facebook

Ciber actores aprovecharon una vulnerabilidad de día cero en los servicios de correo electrónico y los servidores SMTP de Salesforce para lanzar una sofisticada campaña de phishing dirigida a valiosas cuentas de Facebook.

Los atacantes encadenaron una falla denominada "PhishForce" para eludir las protecciones de verificación del remitente de Salesforce y las peculiaridades en la plataforma de juegos web de Facebook para enviar correos electrónicos de phishing masivamente.

El beneficio de usar una puerta de enlace de correo electrónico acreditada como Salesforce para distribuir correos electrónicos de phishing es la evasión de puertas de enlace de correo electrónico seguras y reglas de filtrado, lo que garantiza que los correos electrónicos maliciosos lleguen a la bandeja de entrada del objetivo.

Salesforce CRM permite a los clientes enviar correos electrónicos como su propia marca utilizando dominios personalizados que la plataforma debe verificar primero. Esto protege a los clientes de enviar correos electrónicos a través de Salesforce como otras marcas que no tienen permiso para suplantar.

Sin embargo, Guardio Labs dice que los atacantes descubrieron una manera de explotar la función "Email-to-Case" de Salesforce, que las organizaciones usan para convertir los correos electrónicos entrantes de los clientes en tickets procesables para sus equipos de soporte.

Específicamente, los atacantes configuraron un "Email-to-Case" para obtener el control de una dirección de correo electrónico generada por Salesforce y luego crearon una nueva dirección de correo electrónico entrante en el dominio "salesforce[.]com".

Luego, configuraron esa dirección como una "Dirección de correo electrónico para toda la organización", que utiliza Mass Mailer Gateway de Salesforce para los correos electrónicos salientes, y finalmente pasaron por el proceso de verificación para confirmar la propiedad del dominio.

Este proceso les permitió usar su dirección de correo electrónico de Salesforce para enviar mensajes a cualquier persona, omitiendo las protecciones de verificación de Salesforce y cualquier otro filtro de correo electrónico y sistema antiphishing vigente.

Guardio Labs observó correos electrónicos de phishing que supuestamente provenían de "Metaplataformas" utilizando el dominio "case.salesforce[.]com".

Después de confirmar los problemas al replicar la creación de una dirección con la marca Salesforce capaz de difundir correos electrónicos de phishing, Guardio Labs notificó al proveedor de su descubrimiento el 28 de junio de 2023.

Salesforce valido la vulnerabilidad y resolvió el problema exactamente un mes después, el 28 de julio de 2023.
 

F5 publica vulnerabilidades en sus productos BIG y AMP

F5 ha publicado 3 nuevos avisos de seguridad que contemplan 3 vulnerabilidades, de las cuales 2 son de severidad Alta y 1 de severidad Media. Estas fallas afectan a los siguientes productos en diversas versiones:

• BIG-IP
• BIG-IQ
• APM Clients

Para más información visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1672/

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 7  al 15 de agosto de 2023:

Objetivos observados durante semana de análisis: 

• Servicios legales y profesionales
• Industrias manufactureras, materiales y minería
• Educación
• Infraestructura tecnológica
• Retail y servicios de consumo
• Banca y Finanzas
• Servicios de salud, sociales y farmacia
• Construcción e inmobiliaria
• Servicios empresariales y comercio
• Transportes y servicios automotrices.
• Defensa y orden público
• Entretenimiento, cultura y arte
• Infraestructura tecnológica - Componentes
• Servicios básicos y sanitarios
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Agricultura, ganadería, silvicultura y pesca - consumo

• Industrias manufactureras, materiales y minería
• Servicios legales y profesionales
• Infraestructura tecnológica
• Construcción e inmobiliaria
• Banca y Finanzas
• Servicios empresariales y comercio
• Educación

• Infraestructura tecnológica - Componentes
• Servicios de salud, sociales y farmacia
• Servicios básicos y sanitarios
• Turismo, hoteles y restaurantes

• Entretenimiento, cultura y arte
• Shipment y cadena de suministros
• Gobierno
• Petróleo

• Retail y servicios de consumo
• Defensa y orden público
• Transportes y servicios automotrices.
• Agricultura, ganadería, silvicultura y pesca - producción
• Organizaciones sin fines de lucro
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.