El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
El ransomware Cuba despliega nuevas herramientas: Ataca al sector de infraestructuras críticas en EE.UU. y a integradores de TI en Latinoamérica
BlackBerry ha identificado nuevas herramientas utilizadas por el grupo de amenazas del ransomware Cuba, que ha estado activo durante cuatro años y recientemente llevó a cabo ataques significativos en diversas industrias. Durante este año 2023, atacaron a una organización de infraestructura crítica en EE.UU. y un integrador de TI en América Latina. Utilizaron herramientas y técnicas previamente asociadas con sus campañas, incluido el primer uso conocido de un exploit para la vulnerabilidad Veeam CVE-2023-27532. Aunque están motivados financieramente, las investigaciones indican que es probable que sean de habla rusa, ya que han evitado activamente atacar máquinas con configuraciones en ese idioma y han dirigido sus ataques principalmente hacia países occidentales o aliados.
CVE utilizados:
ProxyNation: El oscuro nexo entre las aplicaciones proxy y el malware
AT&T Alien Labs descubrió una campaña que entrega una aplicación de servidor proxy a computadoras con Windows. La investigación identifica a una empresa que ofrece servicios proxy que redirigen solicitudes a través de sistemas comprometidos. Aunque la página web del proxy afirma que sus nodos de salida provienen sólo de usuarios informados, Alien Labs tiene pruebas de que los autores de malware insertan el proxy en secreto en sistemas infectados. Además, el programa posee firma digital y no es detectado por los antivirus. Este malware, que se utiliza para transformar máquinas en nodos de proxy, ha creado una botnet de 400.000 proxies.
El grupo de origen Chino Bronze Starlight apunta al sector de casinos
Una campaña proveniente de China está dirigida al sector de casinos en el sudeste asiático, buscando desplegar balizas de Cobalt Strike en sistemas comprometidos. SentinelOne indica que los actores amenazantes aprovechan vulnerabilidades en Adobe Creative Cloud, Microsoft Edge y McAfee VirusScan para este propósito.
Las tácticas utilizadas sugieren la participación de un actor conocido como Bronze Starlight, donde también se observan similitudes con la Operación ChattyGoblin de ESET. A pesar de las dificultades en la atribución exacta, se sabe que los atacantes emplean instaladores modificados para desplegar malware. Uno de los aspectos notables es que intentan evitar la ejecución en países como Canadá, Francia y EE.UU., mostrando un enfoque específico en sus ataques y por tanto, pese a que actualmente se encuentra dirigida contra asia, no limita la posible afectación al resto del mundo.
Los ciberdelincuentes abusan de Cloudflare R2 para alojar páginas de phishing, advierten los expertos
En los últimos seis meses, se ha registrado un aumento de 61 veces en el uso de Cloudflare R2 por parte de actores de amenazas para alojar páginas de phishing. Aunque la mayoría de las campañas buscan credenciales de inicio de sesión de Microsoft, también hay páginas dirigidas a Adobe, Dropbox y otras aplicaciones en la nube. Netskope identificó que las campañas de phishing abusan de Cloudflare R2 y su oferta Turnstile, un sustituto de CAPTCHA, para evadir la detección. Estas medidas de evasión dificultan que los escáneres en línea accedan al sitio de phishing. Además, las páginas maliciosas solo cargan contenido bajo ciertas condiciones, añadiendo otro nivel de evasión tanto para detecciones automatizadas como humanas.
Raccoon Stealer regresa con nuevas capacidades de evasión
Después de un paréntesis de seis meses, el grupo de cibercrimen detrás de Raccoon Stealer ha anunciado su regreso con una nueva versión 2.3.0 del malware. A pesar de enfrentar múltiples desafíos en 2022, como la pérdida de un desarrollador en la guerra Rusia-Ucrania y la extradición de uno de sus principales operadores por el FBI, el grupo ha reintroducido características mejoradas en el malware, como un panel de administración avanzado, un sistema para detectar patrones de actividad inusual y un panel de estadísticas de registro. Raccoon Stealer es un malware versátil ampliamente utilizado como herramienta de acceso inicial para numerosos ciberdelincuentes debido a su larga data en el mercado.
Cisco parchea vulnerabilidades de alta gravedad en aplicaciones empresariales
Cisco ha anunciado actualizaciones de seguridad para varias aplicaciones empresariales para corregir vulnerabilidades graves. La más severa, identificada como CVE-2023-20211, afecta la interfaz de gestión web de Cisco Unified Communications Manager y permite a un atacante realizar un ataque de inyección SQL. Cisco ha lanzado parches para esta y otras vulnerabilidades, incluyendo una en ThousandEyes Enterprise Agent que permite una elevación de privilegios y otra en Duo Device Health Application que permite ataques de path traversal. También se corrigieron dos vulnerabilidades DoS en ClamAV. Aunque Cisco dice no tener conocimiento de que estas vulnerabilidades han sido explotadas, recomienda a los usuarios que actualicen sus instalaciones lo antes posible.
Un fallo en WinRAR permite a los hackers ejecutar programas al abrir archivos RAR
WinRAR, una herramienta de archivo popular para Windows, ha corregido una vulnerabilidad de alta gravedad, identificada como CVE-2023-40477, que podría permitir a los atacantes ejecutar código arbitrario en un sistema simplemente abriendo un archivo RAR especialmente diseñado. Aunque se requiere que la víctima abra el archivo para que se explote la vulnerabilidad, dada la amplia base de usuarios de WinRAR, las oportunidades de explotación son significativas.
La solución se encuentra en la versión 6.23 de WinRAR, lanzada el 2 de agosto de 2023. Se recomienda a los usuarios actualizar el software inmediatamente y ser cautelosos al abrir archivos de tipo RAR, además de usar herramientas antivirus que puedan escanear este tipo de archivos comprimidos.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 21 al 27 de agosto de 2023.
Objetivos observados durante semana de análisis:
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: