ENTEL Weekly Threat Intelligence Brief del 21 al 27 de agosto de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Ransomware BlackCat/AlphV se atribuye ataque a empresa de relojes Seiko  
• FBI alerta sobre retiro de criptomonedas robadas por grupo Lazarus de Corea del Norte
• Campaña de ciberespionaje HiatusRAT: cambios en objetivos revelan intereses estratégicos globales de China
• Chenlun: Orquestador Chino de robo de tarjetas de crédito a través de sitios web falsos
• XLoader evoluciona: nueva variante de malware macOS disfrazada de aplicación de producción
• Malware SmokeLoader utiliza Whiffy Recon para escaneo de Wi-Fi en máquinas Windows comprometidas
• Actores de amenazas utilizan PowerShell y Steganografía para propagar malware de tipo RAT  
• Vulnerabilidad de día cero en WinRAR explotada para instalar malware en cuentas de criptomonedas
• Vulnerabilidad servidores OpenFire permite crear cuentas de administrador
• Vulnerabilidades críticas en Jupiter X Core, exponen sitios WordPress  
• FBI advierte que dispositivos Barracuda Networks ESG parcheados sigue siendo vulnerables a ataques Chinos

Ransomware BlackCat/AlphV se atribuye ataque a empresa de relojes Seiko 

La banda de ransomware AlphV/BlackCat, ha reivindicado un ciberataque contra la icónica empresa japonesa de relojes Seiko. A pesar de los ingresos de más de 1.7 billones de dólares por relojes de lujo este año 2023, Seiko informó sobre una violación de datos en agosto. El acceso no autorizado a sus servidores fue descubierto a fines de julio y confirmado por expertos en ciberseguridad a principios de agosto. AlphV/BlackCat compartió capturas de pantalla de datos robados, incluyendo hojas de cálculo y presentaciones. Esta banda ha llevado a cabo numerosos ataques de alto perfil en lo que va del 2023, incluidos contra Reddit, Casepoint y NCR.

Expertos sugieren que AlphV/BlackCat podría estar conectado con el grupo de ransomware Darkside, responsable del ataque a Colonial Pipeline. Seiko admitió que información almacenada podría haber sido comprometida y está investigando la situación en detalle. La compañía insta a clientes y socios a reportar mensajes sospechosos y tomar precauciones.

Japón enfrenta un aumento en los ataques de ransomware. Grandes empresas como Eisai y YKK han sido víctimas en los últimos meses. El ataque al puerto de Nagoya resalta los riesgos en cascada que enfrentan las organizaciones. El ciberataque no solo afecta a una organización, sino también a múltiples sectores interconectados.

FBI alerta sobre retiro de criptomonedas robadas por grupo Lazarus de Corea del Norte  

El FBI advierte que el grupo norcoreano Lazarus podría retirar decenas de millones en criptomonedas robadas, resaltando el riesgo de sus actividades ilícitas. El grupo, también conocido como APT38 y TraderTraitor, ha estado detrás de robos millonarios en el último año. Recientemente, el FBI rastreó criptomonedas robadas vinculadas al grupo y pide a las empresas de criptomonedas que eviten transacciones con sus direcciones. Lazarus está vinculado al robo de más de 2 mil millones de dólares en los últimos 5 años y 200 millones en este 2023. El grupo es responsable del histórico hackeo de 620 millones de dólares en criptomonedas de Ethereum, además de ataques contra empresas relacionadas con criptomonedas como Harmony Horizon y CoinsPaid. GitHub también alertó sobre sus ataques a cuentas de desarrolladores en el ámbito de blockchain y ciberseguridad.

Campaña de ciberespionaje HiatusRAT: cambios en objetivos revelan intereses estratégicos globales de China

En marzo de 2023, investigadores de Black Lotus Labs, identificaron una campaña de ciberespionaje "HiatusRAT", que infectó a más de 100 dispositivos de red en todo el mundo. Utilizó enrutadores de borde para crear una red encubierta de control y control (C&C) y recopilar tráfico de red. Tras advertencias anteriores, el grupo continuó operando, cambiando su enfoque. En junio, apuntaron a un sistema de adquisición militar de EE. UU. y a organizaciones en Taiwán, a diferencia de los objetivos anteriores en América Latina y Europa. 

El grupo compiló nuevas versiones de malware para diversas arquitecturas, usando servidores de C&C previamente identificados y servidores privados virtuales (VPS) nuevos. Uno de los VPS se usó para atacar objetivos en Taiwán, incluyendo entidades gubernamentales y comerciales. Además, se observó una transferencia de datos entre otro VPS y un servidor militar de EE. UU. que maneja contratos, posiblemente relacionado con la Base Industrial de Defensa.

La persistente actividad del grupo destaca la importancia de una sólida ciberseguridad y cooperación internacional contra amenazas cibernéticas en constante evolución. Las acciones recientes señalan una estrategia más amplia de ciberespionaje por parte de China. 

Chenlun: Orquestador Chino de robo de tarjetas de crédito a través de sitios web falsos  

El individuo Chino apodado "Chenlun" ha creado una comunidad desde octubre de 2022, con el propósito de llevar a cabo actividades de robo de información de tarjetas de crédito a través de sitios web falsos de comercio electrónico en todo el mundo. Chenlun ofrece tres opciones de alquiler de código fuente de sitios web de phishing sofisticados. La primera opción, "Phishing Básico con Tarjeta de Crédito", solicita información de tarjetas de crédito por 100 unidades mensuales, alrededor de 92 euros. La segunda opción, "Código de Verificación Regular", por 200 unidades mensuales equivalente a 184 euros, involucra al usuario en el proceso de fraude. La tercera, "PIN de Banca en Línea", a 250 unidades mensuales, permite acceso a cuentas bancarias. 

La venta de este servicio malicioso busca evitar ser marcado por los navegadores con la pantalla roja de alerta a las potenciales víctimas, esto lo puede hacer utilizando contenido dinámico capaz de aislar rastreadores automatizados, incluso utilizando visitas humanas reales para hacerlos creíbles.

Chenlun utiliza Telegram para promocionar sus servicios y mantiene un canal de YouTube con tutoriales sobre implementación de campañas de phishing. Las actividades de Chenlun resaltan la sofisticación y gravedad de las amenazas cibernéticas actuales. 

XLoader evoluciona: nueva variante de malware macOS disfrazada de aplicación de producción  

XLoader, una longeva botnet y ladrón de información que ha estado presente desde 2015, ha resurgido en una forma más sigilosa y avanzada. Aunque su primera variante de macOS fue detectada en 2021, esta nueva encarnación prescinde de dependencias previas y opera en los lenguajes de programación C y Objective C. Además, está firmada con la rúbrica de un desarrollador de Apple, añadiendo una capa adicional de sofisticación al engaño.

En su nueva fachada, XLoader se hace pasar por una inocente aplicación de productividad de oficina llamada 'OfficeNote'. Esta táctica busca apuntar a usuarios en entornos de trabajo, y su objetivo es robar información valiosa del navegador y del portapapeles de las víctimas. La información robada puede ser utilizada internamente o vendida a otros actores maliciosos, ampliando así el riesgo y compromiso.

La persistencia de XLoader subraya la continua amenaza que enfrentan los usuarios y las empresas en el ecosistema macOS. Con esta variante enfocada en ambientes laborales, es crucial que los equipos de seguridad estén alerta y empleen medidas proactivas para evitar posibles compromisos y robos de información sensible.

Malware SmokeLoader utiliza Whiffy Recon para escaneo de Wi-Fi en máquinas Windows comprometidas  

Se ha descubierto que el malware SmokeLoader está siendo utilizado para distribuir una nueva variante de malware llamada Whiffy Recon, que se enfoca en escanear redes Wi-Fi en máquinas Windows comprometidas. Whiffy Recon opera al escanear puntos de acceso Wi-Fi cercanos en intervalos de 60 segundos, triangulando así la ubicación de los sistemas infectados y enviando esta información a través de la API de geolocalización de Google al atacante.

SmokeLoader, un cargador de malware, coloca cargas útiles adicionales en los sistemas infectados y ha estado en circulación desde 2014. Whiffy Recon se activa verificando el servicio WLAN AutoConfig en el sistema y deteniéndose si el nombre del servicio no existe. El malware logra persistencia mediante un acceso directo en la carpeta de inicio de Windows.

Actores de amenazas utilizan PowerShell y esteganografía para propagar malware de tipo RAT  

Los actores de amenazas están adoptando nuevas estrategias al usar PowerShell y esteganografía para difundir malware como LimeRAT, AgentTesla y Remcos. El proceso comienza con correos electrónicos no deseados que contienen archivos adjuntos de Excel. Al abrir estos archivos, se explota una vulnerabilidad en el editor de ecuaciones para iniciar la descarga de una carga útil (payload) de Script VB. Luego, un script de PowerShell se activa, recuperando una imagen JPG con datos codificados en su interior mediante esteganografía. Al decodificar el contenido oculto, se obtiene un ensamblado .NET que se carga e invoca con la URL de la carga útil final. Finalmente, el malware RAT se descarga e inyecta en el proceso legítimo del sistema objetivo, permitiendo que los atacantes operen de manera sigilosa y personalizada. Esta técnica demuestra cómo los atacantes están aprovechando la versatilidad de PowerShell y la esteganografía para sortear las defensas tradicionales y propagar malware de manera eficiente.

Vulnerabilidad de día cero en WinRAR explotada para instalar malware en cuentas de criptomonedas 

Una vulnerabilidad de día cero en WinRAR, conocida como CVE-2023-38831, ha sido activamente explotada desde abril de 2023 para la distribución de malware. Esta vulnerabilidad ha permitido a los atacantes crear archivos RAR y ZIP aparentemente inofensivos que contienen archivos comunes como imágenes JPG, archivos de texto y documentos PDF. Al abrir estos archivos, la vulnerabilidad provoca la ejecución de un script malicioso que instala malware en el dispositivo de la víctima.

La explotación de esta vulnerabilidad ha sido utilizada para distribuir múltiples familias de malware, incluyendo DarkMe, GuLoader y Remcos RAT. Los piratas informáticos han aprovechado esta táctica para violar cuentas de criptomonedas en línea y comprometer la seguridad de cuentas comerciales.

El 2 de agosto de 2023, WinRAR lanzó la versión 6.23 que soluciona esta vulnerabilidad, además de abordar otros temas de ciberseguridad, incluyendo CVE-2023-40477, una falla que puede resultar en la ejecución de comandos al abrir un archivo RAR especialmente diseñado. La explotación de esta vulnerabilidad en WinRAR resalta la importancia de mantener el software actualizado y resalta la continua amenaza de ciberataques dirigidos a sistemas y cuentas de valor, como las relacionadas con criptomonedas.

Vulnerabilidad servidores OpenFire permite crear cuentas de administrador  

La vulnerabilidad CVE-2023-32315 en servidores Openfire permite a usuarios no autenticados crear cuentas de administrador. Aunque se lanzaron actualizaciones para solucionar el problema, más de 3.000 servidores siguen siendo vulnerables, incluso a ataques que cargan malware y complementos maliciosos. Aunque solo el 20% ha aplicado parches de seguridad, el 50% de los servidores siguen siendo vulnerables. El informe de VulnCheck destaca la importancia de actualizar estos servidores, dado su papel crítico en la infraestructura de comunicación y la gestión de datos sensibles. Además, existe una forma de explotar la vulnerabilidad sin crear cuentas de administrador, lo que la hace más atractiva para ciberdelincuentes. Los exploits actuales implican la creación de usuarios administradores para cargar complementos maliciosos. Dado que la vulnerabilidad ya está siendo explotada, incluso por malware de botnet, la prueba de concepto de VulnCheck podría conducir a una segunda ola de ataques. Por tanto, se urge a los administradores de servidores Openfire a actualizar a versiones parcheadas lo más pronto posible para prevenir consecuencias más graves.

Vulnerabilidades críticas en Jupiter X Core, exponen sitios WordPress 

Dos vulnerabilidades críticas han sido descubiertas en Jupiter X Core, un complemento premium para la configuración de sitios web en WordPress y WooCommerce, lo que podría permitir a atacantes secuestrar cuentas y cargar archivos sin autenticación. Jupiter X Core es utilizado en más de 172.000 sitios web.

La primera vulnerabilidad, identificada como CVE-2023-38388, permite la carga de archivos sin autenticación, abriendo la puerta a la ejecución de código arbitrario en el servidor. 

La segunda vulnerabilidad, CVE-2023-38389, calificada como crítica, posibilita que atacantes no autenticados tomen el control de cuentas de usuario de WordPress si conocen la dirección de correo electrónico. 

Se recomienda a todos los usuarios de Júpiter X Core actualizar a la última versión del complemento para evitar la explotación de estas vulnerabilidades. El desarrollador, ArtBees, ha abordado los problemas y ha implementado las correcciones necesarias para garantizar la seguridad de los sitios web que utilizan este complemento.

Para más detalles sobre estas vulnerabilidades accede aquí.
 

FBI advierte que dispositivos Barracuda Networks ESG parcheados sigue siendo vulnerables a ataques Chinos

La Oficina Federal de Investigaciones (FBI) de Estados Unidos ha emitido una advertencia respecto a la vulnerabilidad en los dispositivos Barracuda Networks Email Security Gateway (ESG), incluso después de haber sido parcheados contra una falla crítica recientemente revelada. El FBI alerta que estos dispositivos siguen en riesgo de ser comprometidos por presuntos grupos de ciberdelincuentes de origen chino.

La falla, identificada como CVE-2023-2868, es una vulnerabilidad de inyección remota de comandos que permite la ejecución no autorizada de comandos del sistema con privilegios de administrador en el producto ESG. Aunque se parchó meses después de ser utilizada como arma por grupos de atacantes chinos en octubre de 2022, el FBI considera que las correcciones han sido "ineficaces". El grupo de actividad de China, rastreado por Mandiant bajo el nombre UNC4841, está vinculado a estos ataques.

Las intrusiones exitosas han permitido la implementación de diversas cepas de malware en los dispositivos comprometidos, como SALTWATER, SEASIDE, SEASPY, SANDBAR, SEASPRAY, SKIPJACK, WHIRLPOOL y SUBMARINE, que permiten la ejecución de comandos arbitrarios y evasión de defensas. Los actores cibernéticos han utilizado esta vulnerabilidad para insertar cargas maliciosas que han posibilitado el acceso persistente, escaneo de correo electrónico, recolección de credenciales y exfiltración de datos.

El FBI recomienda a los clientes de Barracuda Networks que aíslen y reemplacen inmediatamente los dispositivos ESG afectados, además de realizar escaneos en busca de tráfico sospechoso.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 28 de agosto al 03 de septiembre de 2023:

Objetivos observados durante semana de análisis: 

• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica - Componentes
• Banca y Finanzas
• Educación
• Organizaciones sin fines de lucro
• Construcción e inmobiliaria
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Transportes y servicios automotrices.
• Agricultura, ganadería, silvicultura y pesca - producción
• Defensa y orden público
• Entretenimiento, cultura y arte
• Gobierno
• Petróleo
• Servicios básicos y sanitarios
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

• Industrias manufactureras, materiales y minería

• Infraestructura tecnológica - Componentes
• Banca y Finanzas
• Educación

• Organizaciones sin fines de lucro
• Construcción e inmobiliaria
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Transportes y servicios automotrices
• Defensa y orden público
• Entretenimiento, cultura y arte

• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Petróleo
• Servicios básicos y sanitarios
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.