El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación. El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
Lockbit Ransomware agrega a su lista de víctimas a la Comisión De Servicios Eléctricos De Montreal(CSEM) en Canadá
La Commission Des Services Électriques de Montréal (CSEM), una agencia pública responsable del soterramiento de cables eléctricos en la ciudad de Montreal, Quebec, Canadá. Recientemente confirmó la violación de sus sistemas el pasado 3 de agosto del 2023 y expuestos públicamente el 30 del mismo mes.
El grupo de ciberactores detrás del ataque utilizó la variante de ransomware LockBit para cifrar los datos de la institución y exigir un rescate. Aunque el CSEM no pagó el rescate, lograron recuperar sus datos utilizando copias de seguridad. Se destaca la importancia de tener un plan de recuperación ante ransomware y medidas de seguridad sólidas para evitar tales ataques. También se resalta la creciente sofisticación de los grupos de ransomware y la necesidad de la cooperación internacional para combatir las amenazas cibernéticas. Se desconoce las tácticas técnicas y procedimientos usados por los ciberactores para este compromiso
Servidores MSSQL usado por ciberactores para implementar ransomware FreeWorld
Una nueva campaña de ataque denominada DB#JAMMER, ha estado comprometiendo base de datos MSSQL expuestas con el objetivo de entregar ransomware y cargas útiles de Cobalt Strike a través de fuerza bruta.
De acuerdo con una investigación observada de Securonix, entre las tácticas, técnicas y procedimientos (TTP); usadas por los actores de amenaza, se incluye software de enumeración, cargas útiles RAT, software de explotación y robo de credenciales y, finalmente, cargas útiles de ransomware. La carga útil de ransomware elegida parece ser una variante más nueva de Mimic ransomware llamada FreeWorld, ya que el texto “FreeWorld” estaba presente en los nombres de los archivos binarios, así como en las extensiones de ransomware.
El acceso inicial fue conseguido a través de la explotación por fuerza bruta de un inicio de sesión del servidor MSSQL y tras la comprobación del estado “habilitado”, del procedimiento almacenado de la función MSSQL xp_cmdshell, posteriormente a ello, los actores de amenaza comenzaron a ejecutar comandos de shell en el host que les permitieron la continuidad de la cadena de ataque.
Akira Ransomware apunta a VPN Cisco ASA sin autenticación multifactor (MFA)
De acuerdo con un informe de Cisco, el grupo de ransomware AKIRA, ha estado explotando activamente a través de fuerza bruta, las VPN de Cisco que no están configuradas para la autenticación multifactor (MFA), con el objetivo de infiltrarse en las organizaciones desprotegidas.
Para el acceso inicial los actores de amenaza aprovechan los servicios o aplicaciones expuestos. Los atacantes a menudo se centran en la ausencia o vulnerabilidades conocidas en la autenticación multifactor (MFA) y en vulnerabilidades conocidas en el software VPN. Una vez que los atacantes se han afianzado en una red objetivo, intentan extraer credenciales a través de volcados de LSASS (Servicio de subsistema de autoridad de seguridad local) para facilitar el movimiento lateral en la red objetivo y elevar los privilegios si es necesario. El grupo también ha sido vinculado al uso de otras herramientas comúnmente conocidas como Living-Off-The-Land Binaries (LOLBins) o herramientas comerciales listas para usar (COTS), como PCHunter64, o a participar en la creación de mini-volcados para recopilar obtener más información sobre la red objetivo o pivotar dentro de ella.
APT Labyrinth Chollima, vinculada a los ciberataques de la cadena de suministros de PYPI
El grupo vinculado a Corea del Norte rastreado con el nombre Labyrinth Chollima, ha estado tras la campaña VMConnect, dirigida a profesionales de TI.
De acuerdo con una investigación observada de ReversingLabs, el grupo APT logra el acceso inicial a través de la técnica de cadena de suministro que implica el uso de un proveedor legítimo de software para propagar malware, en este caso el software abusado por los actores de amenaza resulta ser Python, que Labyrinth Chollima usa para subir paquetes maliciosos al repositorio legítimo de Python Package Index (PyPI).
Entre los paquetes maliciosos encontrados por los investigadores para la campaña VMConnect se mencionan:
Al igual que con campañas anteriores de la cadena de suministro de software, incluida IconBurst ,SentinelSneak y otros, los actores maliciosos detrás de VMConnect, tomaron medidas para disfrazar sus cargas maliciosas y hacer que sus paquetes publicados parecieran confiables, a pesar de la existencia de funciones maliciosas. Esos esfuerzos incluyen prácticas estándar como la utilización de errores tipográficos en los nombres de paquetes populares de código abierto y la apropiación de descripciones de paquetes y otros metadatos para confundir a los desarrolladores
Los enlaces a la campaña VMConnect también están respaldados por profundas similitudes en el código utilizado en los tres paquetes maliciosos recientemente descubiertos, así como por la infraestructura C2 compartida.
En el último tramo de paquetes, los actores maliciosos también tomaron medidas para evitar la detección mediante herramientas de prueba dinámica de seguridad de aplicaciones (DAST). Lo hicieron diseñando paquetes para ejecutar sus cargas maliciosas solo después de haber sido importadas y solicitadas por aplicaciones legítimas
GREF APT distribuye spyware a través de aplicaciones móviles populares
Se ha evidenciado una reciente campaña de ataque a dispositivos móviles que tiene como objetivo distribuir códigos de espionaje a usuarios de Android.
En la reciente investigación de ESET, la campaña se encuentra activa desde julio de 2020 y desde julio de 2022, respectivamente, que le han permitido a los actores de amenaza distribuir el código de espionaje Android denominado BadBazaar a través de la tienda Google Play, Samsung Galaxy Store y sitios web dedicados que representan las aplicaciones maliciosas Signal Plus Messenger y FlyGram, a las que los actores de amenazas han parchearon con código malicioso, como es el caso de las aplicaciones de código abierto Signal y Telegram para Android que tienen como objetivo principal filtrar los datos del usuario.
Nuevo malware MMRAT para Android, usa el protocolo Protobuf para robar los datos de las víctimas.
MMRAT es un nuevo malware bancario para Android, que utiliza un método de comunicación de serialización de datos denominado protobuf.
El objetivo del malware es robar datos de dispositivos comprometidos de manera más eficiente a través de protobuf. MMRAT fue detectado por primera vez a finales de junio de 2023 por los investigadores de Trend Micro.La reciente campaña de MMRAT apunta principalmente a usuarios del sudeste asiático.
De acuerdo con los investigadores, no está claro como los actores de amenaza consiguieron el acceso inicial a los usuarios objetivo, sin embargo, mencionan que MMRat se distribuye a través de sitios web disfrazados de tiendas de aplicaciones oficiales, generalmente, imitando a un gobierno oficial o una aplicación de citas, y otorgan permisos riesgosos como el acceso al servicio de Accesibilidad de Android durante la instalación.
El malware abusa automáticamente de la función Accesibilidad para otorgar permisos adicionales que le permitirán realizar una amplia gama de acciones maliciosas en el dispositivo infectado
Classiscam, el malware llamado estafa como servicio (Scam-as-a-Service), que recaudó más de 64,5 millones de dólares en ganancias ilícitas
De acuerdo con una investigación de Group-ib, la campaña reciente de Classiscam, siguen usando la técnica de
ingeniería social para engañar a los usuarios a través de sitios web de phishing generados automáticamente y obtener
el acceso inicial.
Para que esto ocurra Classiscam intenta trasladar las conversaciones de chat a mensajeros, una táctica para asegurarse de que no se bloquee el enlace de phishing y le permita desempeñar el papel de compradores y vendedores de artículos en sitios de anuncios clasificados. Cuando Classiscam actúa como comprador, los estafadores afirman que se ha efectuado el pago de un artículo y engañan a la víctima para que pague la entrega o introduzca los datos de su tarjeta para recibir fondos a través de una página de phishing.
Por lo general Classiscam Telegram crean canales separados que contienen información sobre cargos debitados de las tarjetas bancarias de las víctimas que caen en la estafa. A menudo, estas publicaciones contienen información sobre la ubicación de la víctima, lo que significa que nos es posible estudiar la escala aproximada de los ataques de Classiscam por país y región. Siguiendo esta metodología, se reveló que Europa era la región más objetivo de Classiscam, ya que se encontraron 384 esquemas individuales (62,2% del total global). La región de Oriente Medio y África ocupa el segundo lugar, con 112 planes individuales (18,2% del total mundial), seguida en tercer lugar por la región de Asia y el Pacífico, que se vio afectada por80 campañas de Classiscam (13,0%). Los investigadores del Grupo IB creen que esta dinámica indica que los ataques a los usuarios de Internet europeos tienen el potencial de generar mayores cantidades de dinero en comparación con otras regiones del mundo
Vulnerabilidad en RocketMQ, permite al DreamBus malware infectar servidores vulnerables
La vulnerabilidad es rastreada con el CVE-2023-33246, que corresponde a una falla que afecta la verificación de permisos, lo que permite a los actores de amenaza la ejecución remota de comandos bajo ciertas condiciones..
De acuerdo con la investigación de Juniper, se evidenció el aumento de la actividad del malware a mediados de junio del 2023, dirigidos al puerto predeterminado de RocketMQ, 10911 y a otros 7 puertos.
El módulo principal de DreamBus es un binario ELF Linux que ha sido empaquetado con UPX, pero con encabezados y pies de página modificados que dificultan su descompresión y la detección estática.
En la descompresión del archivo malicioso los actores de amenaza necesitan arreglar los encabezados de las muestras empaquetadas UPX, antes de escanearlas para que la herramienta UPX lo descomprimiera.
Una vez desempaquetado el archivo malicioso, se ejecutan numerosas cadenas codificadas en base64, que corresponden a scripts con distintas funcionalidades que incluyen la descarga de otros módulos maliciosos, además, de decodificar un script que se asemeja al script "reketed", que efectúa solicitudes al servicio TOR utilizando distintos nombres de ruta como:
Dichas solicitudes, enviarán la respuesta correspondiente al servidor, notificando las acciones que ha tomado para continuar con la operación de ataque.
Actores de amenaza apuntan a la empresa OKTA para conseguir credenciales de acceso privilegiados a través de la ingeniería social
De acuerdo con un aviso publicado por OKTA, el ataque de ingeniería social evidenciado recientemente está dirigido al personal de la mesa de servicio de TI de la empresa, con el objetivo de obtener permisos de administración elevados. Si bien aún no está clara la atribución del actor de amenaza detrás del ataque si se exponen en la investigación las tácticas, técnicas y procedimientos usadas por los atacantes:
Los actores de amenazas parecen tener:
Windows Container Isolation Framework, podría ser abusado por los ciberactores para eludir las soluciones de seguridad
De acuerdo con una reciente demostración en la conferencia de ciberseguridad DEF CON del 11 de agosto del 2023, por parte del investigador Daniel Avinoam, es posible que los actores de amenaza puedan abusar del Windows Container Isolation Framework para eludir las soluciones de seguridad.
Según la demostración efectuada por el investigador, se evidencia, que el sistema operativo Windows separa el sistema de archivos de cada contenedor al host y evita la duplicación de archivos del sistema. Para evitar la duplicación, cada contenedor utiliza una imagen generada dinámicamente, que apunta al original utilizando los puntos de análisis. El resultado son imágenes que contienen “archivos fantasmas”, que no almacenan datos reales, sino que se vinculan a otro volumen del sistema de archivos, permitiendo a los actores de amenaza manipularlos los archivos para eludir los productos EDR en múltiples dominios.
La característica de Windows que permite la separación del sistema de archivos entre los contenedores de Windows y su host es el mini-filtro Windows Container Isolation FS (wcifs), que en su POST_CREATE, el controlador analiza y maneja las solicitudes que se devuelven con STATUS_REPARSE, que podrían permitir adjuntar el mini-filtro al volumen principal para que sea abierto con una de sus etiquetas y facilitar la devolución de llamada POST_CREATE.
Para que se ejecute la función POST_CREATE, un minifiltro debe devolver FLT_PREOP_SUCCESS_WITH_CALLBACK o FLT_PREOP_SYNCHRONIZE en su función PRE_CREATE.
Si en la ejecución de la función algunas condiciones no se cumplen y el filtro decide no continuar manejando la solicitud después de inspeccionarla por primera vez, entonces, da como resultado que se devuelva el estado de devolución de llamada FLT_PREOP_SUCCESS_NO_CALLBACK, lo que hace que el administrador de filtros ignore la devolución de llamada POST_CREATE de este controlador.
Para lograr que el mini-filtro maneja la solicitud de CreateFile, se debe lograr lo siguiente:
Método Business Email Compromise (BEC), usado para efectuar estafas millonarias.
De acuerdo con un reciente artículo observado en la clear web, actores de amenaza usan activamente el método BEC, con el objetivo de efectuar estafas, blanqueo de capitales, falsedad documental y usurpación de estado civil.
El objetivo principal de los actores de amenaza a través del método Business Email Compromise (BEC), es modificar la dirección de esos correos cambiando o añadiendo algún carácter imperceptible, para recibir incluso el dinero que transferían las empresas perjudicadas para lo cual usaban mulas que accedían y abrían cuentas con documentación falsa por una pequeña compensación económica.
Una vez que los actores de amenaza efectuaban la estafa, procedían inmediatamente a efectuar las transferencias necesarias a otras cuentas de entidades bancarias ubicadas en varios países europeo, usando a las mulas para lograr introducir el dinero estafado en el circuito legal permitiéndoles, además, hacer los retiros de este a través de los cajeros automáticos.
De acuerdo con la organización que efectuó la investigación “Guardia Civil de Toledo” en conjunto con el Equipo de Investigación Tecnológica (Edite), se han evidenciado al menos 1 millón de euros en estafas a más de 36 empresas de Toledo, Cuenca, Madrid, Barcelona y Valencia.
Si bien no está claro en la investigación el actor de amenaza de dicha operación, los investigadores mencionan que corresponde a una entramada red delictiva de internet que ha permitido llevar a cabo dichas operaciones rastreadas por los agentes como Operación Company-Ceres.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 04 al 10 de septiembre de 2023:
Objetivos observados durante semana de análisis:
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Tipo | Indicador |
---|---|
FreeWorld Ransomware | . |
hash | 867143a1c945e7006740422972f... |
hash | 80bf2731a81c113432f061b397d... |
hash | 75975b0c890f804dab19f68d707... |
hash | c576f7f55c4c0304b290b15e70a... |
hash | 95a73b9fda6a1669e6467dcf3e0... |
hash | 08f827a63228d7bcd0d02dd131c... |
APT Labyrinth Chollima | . |
hash | 33b4811c482a400b0d9c7ef6c8d... |
hash | 727755fb0f3872307f8ca49a84b... |
hash | 1ff44024ac3b371e12ceb07d196... |
hash | 038600aa7fd8051135988b8cecf... |
hash | 8d94f2ce6a9c0fb0cf4ecdd03d2... |
hash | 3ff596b23900fc85f778886a01b... |
hash | ab416586abcc4b09edf925c6a61... |
RocketMQ | . |
ip | 92[.]204.243.155 |
hash | 1d0c3e35324273ffeb434f929f8... |
hash | 1c49d7da416474135cd35a9166f... |
hash | 601a2ff4a7244ed41dda1c1fc71... |
hash | 153b0d0916bd3150c5d4ab3e146... |
hash | e71caf456b73dade7c65662ab5c... |
hash | 9f740c9042a7c3c03181d315d47... |
hash | 371319cd17a1ab2d3fb2c79685c... |
hash | 21a9f094eb65256e0ea2adb5b43... |
hash | 0a8779a427aba59a66338d85e28... |