ENTEL Weekly Threat Intelligence Brief del 28 de agosto al 3 de septiembre de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación. El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Lockbit Ransomware agrega a su lista de víctimas a la Comisión De Servicios Eléctricos De MontreaL (CSEM)
• Servidores MSSQL usado por ciberactores para implementar ransomware FreeWorld
• Akira Ransomware apunta a VPN Cisco ASA sin autenticación multifactor(MFA)
• APT LABYRINTH, vinculada a los ciberataques de la cadena de suministros de PYPI
• GREF APT distribuye spyware a través de aplicaciones móviles populares
• Nuevo malware MMRAT para Android, usa el protocolo Protobuf para robar los datos de las víctimas
• Classiscam, el malware llamado estafa como servicio (Scam-as-a-Service), que recaudó más de 64,5 millones de dólares en ganancias ilícitas
• Vulnerabilidad en RocketMQ, permite al DreamBus malware infectar servidores vulnerables
• Actores de amenaza apuntan a la empresa OKTA para conseguir credenciales de acceso privilegiados a través de la ingeniería social
• Windows Container Isolation Framework, podría ser abusado por los ciberactores para eludir las soluciones de seguridad
• Método Business Email Compromise (BEC), usado para efectuar estafas millonarias

Lockbit Ransomware agrega a su lista de víctimas a la Comisión De Servicios Eléctricos De Montreal(CSEM) en Canadá

La Commission Des Services Électriques de Montréal (CSEM), una agencia pública responsable del soterramiento de cables eléctricos en la ciudad de Montreal, Quebec, Canadá. Recientemente confirmó la violación de sus sistemas el pasado 3 de agosto del 2023 y expuestos públicamente el 30 del mismo mes.

El grupo de ciberactores detrás del ataque utilizó la variante de ransomware LockBit para cifrar los datos de la institución y exigir un rescate. Aunque el CSEM no pagó el rescate, lograron recuperar sus datos utilizando copias de seguridad. Se destaca la importancia de tener un plan de recuperación ante ransomware y medidas de seguridad sólidas para evitar tales ataques. También se resalta la creciente sofisticación de los grupos de ransomware y la necesidad de la cooperación internacional para combatir las amenazas cibernéticas. Se desconoce las tácticas técnicas y procedimientos usados por los ciberactores para este compromiso

Servidores MSSQL usado por ciberactores para implementar ransomware FreeWorld

Una nueva campaña de ataque denominada DB#JAMMER, ha estado comprometiendo base de datos MSSQL expuestas con el objetivo de entregar ransomware y cargas útiles de Cobalt Strike a través de fuerza bruta.

De acuerdo con una investigación observada de Securonix, entre las tácticas, técnicas y procedimientos (TTP); usadas por los actores de amenaza, se incluye software de enumeración, cargas útiles RAT, software de explotación y robo de credenciales y, finalmente, cargas útiles de ransomware. La carga útil de ransomware elegida parece ser una variante más nueva de Mimic ransomware llamada FreeWorld, ya que el texto “FreeWorld” estaba presente en los nombres de los archivos binarios, así como en las extensiones de ransomware.

El acceso inicial fue conseguido a través de la explotación por fuerza bruta de un inicio de sesión del servidor MSSQL y tras la comprobación del estado “habilitado”, del procedimiento almacenado de la función MSSQL xp_cmdshell, posteriormente a ello, los actores de amenaza comenzaron a ejecutar comandos de shell en el host que les permitieron la continuidad de la cadena de ataque.

Akira Ransomware apunta a VPN Cisco ASA sin autenticación multifactor (MFA)

De acuerdo con un informe de Cisco, el grupo de ransomware AKIRA, ha estado explotando activamente a través de fuerza bruta, las VPN de Cisco que no están configuradas para la autenticación multifactor (MFA), con el objetivo de infiltrarse en las organizaciones desprotegidas.

Para el acceso inicial los actores de amenaza aprovechan los servicios o aplicaciones expuestos. Los atacantes a menudo se centran en la ausencia o vulnerabilidades conocidas en la autenticación multifactor (MFA) y en vulnerabilidades conocidas en el software VPN. Una vez que los atacantes se han afianzado en una red objetivo, intentan extraer credenciales a través de volcados de LSASS (Servicio de subsistema de autoridad de seguridad local) para facilitar el movimiento lateral en la red objetivo y elevar los privilegios si es necesario. El grupo también ha sido vinculado al uso de otras herramientas comúnmente conocidas como Living-Off-The-Land Binaries (LOLBins) o herramientas comerciales listas para usar (COTS), como PCHunter64, o a participar en la creación de mini-volcados para recopilar obtener más información sobre la red objetivo o pivotar dentro de ella.

APT Labyrinth Chollima, vinculada a los ciberataques de la cadena de suministros de PYPI

El grupo vinculado a Corea del Norte rastreado con el nombre Labyrinth Chollima, ha estado tras la campaña VMConnect, dirigida a profesionales de TI.

De acuerdo con una investigación observada de ReversingLabs, el grupo APT logra el acceso inicial a través de la técnica de cadena de suministro que implica el uso de un proveedor legítimo de software para propagar malware, en este caso el software abusado por los actores de amenaza resulta ser Python, que Labyrinth Chollima usa para subir paquetes maliciosos al repositorio legítimo de Python Package Index (PyPI).

Entre los paquetes maliciosos encontrados por los investigadores para la campaña VMConnect se mencionan:

• request-plus
• requestpro
• tablediter

Al igual que con campañas anteriores de la cadena de suministro de software, incluida IconBurst ,SentinelSneak y otros, los actores maliciosos detrás de VMConnect, tomaron medidas para disfrazar sus cargas maliciosas y hacer que sus paquetes publicados parecieran confiables, a pesar de la existencia de funciones maliciosas. Esos esfuerzos incluyen prácticas estándar como la utilización de errores tipográficos en los nombres de paquetes populares de código abierto y la apropiación de descripciones de paquetes y otros metadatos para confundir a los desarrolladores

Los enlaces a la campaña VMConnect también están respaldados por profundas similitudes en el código utilizado en los tres paquetes maliciosos recientemente descubiertos, así como por la infraestructura C2 compartida. 

En el último tramo de paquetes, los actores maliciosos también tomaron medidas para evitar la detección mediante herramientas de prueba dinámica de seguridad de aplicaciones (DAST). Lo hicieron diseñando paquetes para ejecutar sus cargas maliciosas solo después de haber sido importadas y solicitadas por aplicaciones legítimas

GREF APT distribuye spyware a través de aplicaciones móviles populares 
Se ha evidenciado una reciente campaña de ataque a dispositivos móviles que tiene como objetivo distribuir códigos de espionaje a usuarios de Android.

En la reciente investigación de ESET, la campaña se encuentra activa desde julio de 2020 y desde julio de 2022, respectivamente, que le han permitido a los actores de amenaza distribuir el código de espionaje Android denominado BadBazaar a través de la tienda Google Play, Samsung Galaxy Store y sitios web dedicados que representan las aplicaciones maliciosas Signal Plus Messenger y FlyGram, a las que los actores de amenazas han parchearon  con código malicioso, como es el caso de las aplicaciones de código abierto Signal y Telegram para Android que tienen como objetivo principal filtrar los datos del usuario.

Nuevo malware MMRAT para Android, usa el protocolo Protobuf para robar los datos de las víctimas.

MMRAT es un nuevo malware bancario para Android, que utiliza un método de comunicación de serialización de datos denominado protobuf.

El objetivo del malware es robar datos de dispositivos comprometidos de manera más eficiente a través de protobuf. MMRAT fue detectado por primera vez a finales de junio de 2023 por los investigadores de Trend Micro.La reciente campaña de MMRAT apunta principalmente a usuarios del sudeste asiático.

De acuerdo con los investigadores, no está claro como los actores de amenaza consiguieron el acceso inicial a los usuarios objetivo, sin embargo, mencionan que MMRat se distribuye a través de sitios web disfrazados de tiendas de aplicaciones oficiales, generalmente, imitando a un gobierno oficial o una aplicación de citas, y otorgan permisos riesgosos como el acceso al servicio de Accesibilidad de Android durante la instalación.

El malware abusa automáticamente de la función Accesibilidad para otorgar permisos adicionales que le permitirán realizar una amplia gama de acciones maliciosas en el dispositivo infectado

Classiscam, el malware llamado estafa como servicio (Scam-as-a-Service), que recaudó más de   64,5 millones de dólares en ganancias ilícitas

De acuerdo con una investigación de Group-ib, la campaña reciente de Classiscam, siguen usando la técnica de 
ingeniería social para engañar a los usuarios a través de sitios web de phishing generados automáticamente y obtener 
el acceso inicial.

Para que esto ocurra Classiscam intenta trasladar las conversaciones de chat a mensajeros, una táctica para asegurarse de que no se bloquee el enlace de phishing y le permita desempeñar el papel de compradores y vendedores de artículos en sitios de anuncios clasificados. Cuando Classiscam actúa como comprador, los estafadores afirman que se ha efectuado el pago de un artículo y engañan a la víctima para que pague la entrega o introduzca los datos de su tarjeta para recibir fondos a través de una página de phishing.

Por lo general Classiscam Telegram crean canales separados que contienen información sobre cargos debitados de las tarjetas bancarias de las víctimas que caen en la estafa. A menudo, estas publicaciones contienen información sobre la ubicación de la víctima, lo que significa que nos es posible estudiar la escala aproximada de los ataques de Classiscam por país y región. Siguiendo esta metodología, se reveló que Europa era la región más objetivo de Classiscam, ya que se encontraron 384 esquemas individuales (62,2% del total global). La región de Oriente Medio y África ocupa el segundo lugar, con 112 planes individuales (18,2% del total mundial), seguida en tercer lugar por la región de Asia y el Pacífico, que se vio afectada por80 campañas de Classiscam (13,0%). Los investigadores del Grupo IB creen que esta dinámica indica que los ataques a los usuarios de Internet europeos tienen el potencial de generar mayores cantidades de dinero en comparación con otras regiones del mundo

Vulnerabilidad en RocketMQ, permite al DreamBus malware infectar servidores vulnerables

La vulnerabilidad es rastreada con el CVE-2023-33246, que corresponde a una falla que afecta la verificación de permisos, lo que permite a los actores de amenaza la ejecución remota de comandos bajo ciertas condiciones..

De acuerdo con la investigación de Juniper, se evidenció el aumento de la actividad del malware a mediados de junio del 2023, dirigidos al puerto predeterminado de RocketMQ, 10911 y a otros 7 puertos.

El módulo principal de DreamBus es un binario ELF Linux que ha sido empaquetado con UPX, pero con encabezados y pies de página modificados que dificultan su descompresión y la detección estática.

En la descompresión del archivo malicioso los actores de amenaza necesitan arreglar los encabezados de las muestras empaquetadas UPX, antes de escanearlas para que la herramienta UPX lo descomprimiera.

Una vez desempaquetado el archivo malicioso, se ejecutan numerosas cadenas codificadas en base64, que corresponden a scripts con distintas funcionalidades que incluyen la descarga de otros módulos maliciosos, además, de decodificar un script que se asemeja al script "reketed", que efectúa solicitudes al servicio TOR utilizando distintos nombres de ruta como:

• ru6r4inkaf4thlgflg4iqs5mhqwqubols5qagspvya4whp3dgbvmyhad[.]onion/ping
• ru6r4inkaf4thlgflg4iqs5mhqwqubols5qagspvya4whp3dgbvmyhad[.]onion/mina
• ru6r4inkaf4thlgflg4iqs5mhqwqubols5qagspvya4whp3dgbvmyhad[.]onion/cmd1
• ru6r4inkaf4thlgflg4iqs5mhqwqubols5qagspvya4whp3dgbvmyhad[.]onion/kill

Dichas solicitudes, enviarán la respuesta correspondiente al servidor, notificando las acciones que ha tomado para continuar con la operación de ataque. 

Actores de amenaza apuntan a la empresa OKTA para conseguir credenciales de acceso privilegiados a través de la ingeniería social  

De acuerdo con un aviso publicado por OKTA, el ataque de ingeniería social evidenciado recientemente está dirigido al personal de la mesa de servicio de TI de la empresa, con el objetivo de obtener permisos de administración elevados. Si bien aún no está clara la atribución del actor de amenaza detrás del ataque si se exponen en la investigación las tácticas, técnicas y procedimientos usadas por los atacantes:

Los actores de amenazas parecen tener:

• La contraseña para cuentas de usuarios privilegiados
• Poder manipular el flujo de autenticación delegado a través de Active Directory (AD) antes de llamar al servicio de atención de TI de una organización objetivo, solicitando un restablecimiento de todos los factores de MFA en la cuenta objetivo. En el caso de los clientes de Okta, el actor de amenazas apuntó a los usuarios asignados con permisos de superadministrador.
• El actor de amenazas accedería a la cuenta comprometida utilizando servicios de proxy anónimos y una IP y un dispositivo no asociado previamente con la cuenta de usuario.
• Las cuentas de superadministrador comprometidas se utilizaron para asignar privilegios más altos a otras cuentas y/o restablecer los autenticadores inscritos en cuentas de administrador existentes. En algunos casos, el actor de amenazas eliminó los requisitos del segundo factor de las políticas de autenticación.
• Se observó que el actor de amenazas configuraba un segundo proveedor de identidad para que actuara como una "aplicación de suplantación" para acceder a aplicaciones dentro de la organización comprometida en nombre de otros usuarios. Este segundo proveedor de identidad, también controlado por el atacante, actuaría como un IdP de “origen” en una relación de federación entrante (a veces denominada “Org2Org”) con el objetivo.
• Desde este IdP "de origen", el actor de amenazas manipuló el parámetro de nombre de usuario para los usuarios objetivo en el segundo proveedor de identidad "de origen" para que coincidiera con un usuario real en el proveedor de identidad "de destino" comprometido. Esto proporcionó la capacidad de realizar un inicio de sesión único (SSO) en aplicaciones en el IdP de destino como usuario de destino

Windows Container Isolation Framework, podría ser abusado por los ciberactores para eludir las soluciones de seguridad

De acuerdo con una reciente demostración en la conferencia de ciberseguridad DEF CON del 11 de agosto del 2023, por parte del investigador Daniel Avinoam, es posible que los actores de amenaza puedan abusar del Windows Container Isolation Framework para eludir las soluciones de seguridad.

Según la demostración efectuada por el investigador, se evidencia, que el sistema operativo Windows separa el sistema de archivos de cada contenedor al host y evita la duplicación de archivos del sistema. Para evitar la duplicación, cada contenedor utiliza una imagen generada dinámicamente, que apunta al original utilizando los puntos de análisis. El resultado son imágenes que contienen “archivos fantasmas”, que no almacenan datos reales, sino que se vinculan a otro volumen del sistema de archivos, permitiendo a los actores de amenaza manipularlos los archivos para eludir los productos EDR en múltiples dominios.

La característica de Windows que permite la separación del sistema de archivos entre los contenedores de Windows y su host es el mini-filtro Windows Container Isolation FS (wcifs), que en su POST_CREATE, el controlador analiza y maneja las solicitudes que se devuelven con STATUS_REPARSE, que podrían permitir adjuntar el mini-filtro al volumen principal para que sea abierto con una de sus etiquetas y facilitar la devolución de llamada POST_CREATE.

Para que se ejecute la función POST_CREATE, un minifiltro debe devolver FLT_PREOP_SUCCESS_WITH_CALLBACK o FLT_PREOP_SYNCHRONIZE en su función PRE_CREATE. 

Si en la ejecución de la función algunas condiciones no se cumplen y el filtro decide no continuar manejando la solicitud después de inspeccionarla por primera vez, entonces, da como resultado que se devuelva el estado de devolución de llamada FLT_PREOP_SUCCESS_NO_CALLBACK, lo que hace que el administrador de filtros ignore la devolución de llamada POST_CREATE de este controlador.

Para lograr que el mini-filtro maneja la solicitud de CreateFile, se debe lograr lo siguiente:

• Crear un silo e insertar el proceso malicioso en él.
• Informar al conductor la representación del silo creado en un contenedor para que cree un contexto de unión y se refiera a él en consecuencia.
• Entre algunas recomendaciones del autor de la investigación como medida de mitigación se mencionan:
• Detecta llamadas a DeviceIoControl + FSCTL_SET_REPARSE_POINT + IO_REPARSE_TAG_WCI_1 / y verifica la etiqueta IO_REPARSE_TAG_WCI_1 en la devolución de llamada PRE_WRITE. Escanee archivos con la etiqueta en la función PRE_CLEANUP incluso si no fueron alterados.
• Compruebe si el puerto de comunicación de wcifs está abierto por procesos que no son procesos válidos del sistema.
• Compruebe si se abre un contenedor donde el volumen de origen es igual al volumen de destino.
• Compruebe si wcifs está adjunto por un proceso de usuario y no por el sistema, o si está adjunto cuando la función de contenedores está desactivada.

Método Business Email Compromise (BEC), usado para efectuar estafas millonarias. 

De acuerdo con un reciente artículo observado en la clear web, actores de amenaza usan activamente el método BEC, con el objetivo de efectuar estafas, blanqueo de capitales, falsedad documental y usurpación de estado civil.

El objetivo principal de los actores de amenaza a través del método Business Email Compromise (BEC), es modificar la dirección de esos correos cambiando o añadiendo algún carácter imperceptible, para recibir incluso el dinero que transferían las empresas perjudicadas para lo cual usaban mulas que accedían y abrían cuentas con documentación falsa por una pequeña compensación económica.

Una vez que los actores de amenaza efectuaban la estafa, procedían inmediatamente a efectuar las transferencias necesarias a otras cuentas de entidades bancarias ubicadas en varios países europeo, usando a las mulas para lograr introducir el dinero estafado en el circuito legal permitiéndoles, además, hacer los retiros de este a través de los cajeros automáticos.

De acuerdo con la organización que efectuó la investigación “Guardia Civil de Toledo” en conjunto con el Equipo de Investigación Tecnológica (Edite), se han evidenciado al menos 1 millón de euros en estafas a más de 36 empresas de Toledo, Cuenca, Madrid, Barcelona y Valencia.

Si bien no está claro en la investigación el actor de amenaza de dicha operación, los investigadores mencionan que corresponde a una entramada red delictiva de internet que ha permitido llevar a cabo dichas operaciones rastreadas por los agentes como Operación Company-Ceres.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 04 al 10 de septiembre de 2023:

Objetivos observados durante semana de análisis: 

• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica - Componentes
• Banca y Finanzas
• Educación
• Organizaciones sin fines de lucro
• Construcción e inmobiliaria
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Transportes y servicios automotrices.
• Agricultura, ganadería, silvicultura y pesca - producción
• Defensa y orden público
• Entretenimiento, cultura y arte
• Gobierno
• Petróleo
• Servicios básicos y sanitarios
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Banca y Finanzas

• Shipment y cadena de suministros

• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes

• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.