ENTEL Weekly Threat Intelligence Brief del 02 al 08 de octubre de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Ransom Knight distribuido en nueva campaña de actores afiliados a Qakbot
• RansomevdVC compromete a La Junta Electoral del Distrito de Columbia (DCBOE)
• Grupo APT activa campaña Jacana, dirigida a entidades gubernamentales de Guyana
• APT NoName057 en campaña de ciberataques contra la cumbre de Granada en España
• Grupo hacktivista  SiegedSec afirma exponer sistemas de la OTAN
• Lu0Bot el malware que se esconde tras una aplicación en Node.js
• Rootkit de código abierto  r77 entregado a través de NPM
• Nuevas familias de variantes de botnets desarrolladas en base a Mirai
• Vulnerabilidad de día cero de  WHATSAPP, puede afectar dispositivos Android
• Vulnerabilidad crítica de TeamCity de JetBrains, permite ejecución remota de código malicioso
• Una vulnerabilidad WS_FTP Ad Hoc vía IIS, permite la ejecución remota de código malicioso
• Vulnerabilidad en paquetes de python facilitan a los actores de amenaza ejecutar código malicioso

Ransom Knight distribuido en nueva campaña de actores afiliados a Qakbot  

Desde principios de agosto de 2023, los actores detrás del malware Qakbot han estado llevando a cabo una campaña en la que distribuyen el ransomware Ransom Knight y el backdoor Remcos a través de phishing. A pesar de que la infraestructura de Qakbot fue eliminada en una operación que involucró al FBI y a muchas agencias internacionales a finales de agosto de 2023, los actores afiliados a Qakbot continúan distribuyendo malware. Aunque no se ha visto a los actores distribuyendo Qakbot en sí después de la eliminación de la infraestructura, se cree que el malware seguirá siendo una amenaza significativa en el futuro. Los desarrolladores de Qakbot no fueron arrestados y siguen operando, lo que abre la posibilidad de que decidan reconstruir la infraestructura de Qakbot. Talos Intelligence ha rastreado la nueva actividad de los actores de Qakbot conectando los metadatos en los archivos LNK utilizados en la nueva campaña a las máquinas utilizadas en campañas anteriores de Qakbot. Aunque no se cree que los actores de Qakbot estén detrás de la oferta de ransomware como servicio, se recomienda a los usuarios que desplieguen reglas Snort y firmas ClamAV para detectar la implementación de Qakbot.

RansomevdVC compromete a La Junta Electoral del Distrito de Columbia (DCBOE)

La Junta de Elecciones del Distrito de Columbia (DCBOE) confirmó que los datos de los votantes fueron robados en un ataque a su sitio web. Los actores de amenaza accedieron a la información a través del servidor web de DataNet, el proveedor de alojamiento de la autoridad electoral de Washington D.C. El ataque no involucró una violación directa de los servidores y sistemas internos de DCBOE. La junta de elecciones trabajó con expertos en seguridad de datos, el FBI y el Departamento de Seguridad Nacional para realizar una evaluación exhaustiva de la seguridad de sus sistemas internos. La junta de elecciones también trabajó en estrecha colaboración con el equipo de respuesta a incidentes informáticos de MS-ISAC para contener la situación después de identificar la fuente del ataque. Los actores de amenaza afirman haber obtenido más de 600,000 datos de votantes de EE. UU. y están ofreciendo la información robada a la venta en su sitio web de filtraciones en la dark web. El precio exacto no se ha revelado. 

Grupo APT activa campaña Jacana, dirigida a entidades gubernamentales de Guyana

La Operación Jacana es una campaña de ciberespionaje dirigida contra una entidad gubernamental de Guyana. Los atacantes utilizaron correos electrónicos de spear phishing para acceder a la red de la víctima y luego se movieron lateralmente a través de la red interna. Para extraer datos confidenciales, los operadores utilizaron un backdoor no documentado previamente al que denominaron DinodasRAT. Los asuntos de los correos electrónicos sugieren que los operadores estaban siguiendo la actual política de Guyana para dirigir su operación de ciberespionaje. La campaña fue detectada por ESET en febrero de 2023.

APT NoName057 en campaña de ciberataques contra la cumbre de Granada en España

El grupo de hackers rusos NoName057 ha llevado a cabo una campaña de ciberataques contra España en los días previos a las elecciones generales. Los ataques fueron de tipo DDoS, que consiste en enviar un tráfico masivo a una web para colapsarla y que no pueda ser consultada. Los objetivos de la ofensiva fueron instituciones, bancos, teleoperadoras, medios de comunicación y empresas turísticas. El día de las elecciones, NoName057 logró tumbar dos veces la web del Ministerio del Interior y atacó webs especialmente sensibles en esa jornada como el INE, la Junta Electoral Central, la oficina de Correos y por segunda vez,  la casa de la moneda española Moncloa. Los ataques fueron obra del colectivo NoName057, uno de los más activos grupos de hackers al servicio del Kremlin. La ofensiva coordinada sin precedentes contra España tuvo uno de los momentos álgidos el 23 de julio, durante la jornada electoral, pero que apenas se rebajó en las jornadas siguientes en las que los servicios secretos rusos intentaron aprovechar la incertidumbre política salida de las urnas para defender que el país se encamina a un período de caos político.

Grupo hacktivista  SiegedSec afirma exponer sistemas de la OTAN

La OTAN está investigando un nuevo ataque cibernético reclamado por el grupo SiegedSec. El grupo publicó una serie de capturas de pantalla en su sitio de extorsión que muestran el acceso a los sistemas hackeados como prueba del compromiso. Los objetivos del ataque fueron varios portales dirigidos por la OTAN, incluyendo el Joint Advanced Distributed Learning, Lessons Learned, Logistics Network, Communities of Interest Cooperation, Investment Division y el Standardization Office. El grupo afirmó haber robado más de 3.000 archivos que suman más de 9 GB de datos. La OTAN ha confirmado que está investigando las afirmaciones del grupo, pero ha declarado que no ha habido impacto en las misiones, operaciones y despliegues militares de la organización. SiegedSec es un grupo de ciberdelincuentes que el año pasado llevó a cabo múltiples ataques contra organizaciones estadounidenses, especialmente municipios. El grupo también afirmó haber robado información de la OTAN en julio de este año. La OTAN ha puesto en marcha medidas adicionales de ciberseguridad para abordar los incidentes que afectan a algunos sitios web no clasificados.

Lu0Bot el malware que se esconde tras una aplicación en Node.js

Lu0Bot es un malware Node.js con considerables capacidades. El equipo de investigación de AnyRun descubrió que el malware se distribuye a través de correos electrónicos de phishing que contienen un archivo adjunto malicioso. Una vez que se abre el archivo, el malware se instala en el sistema y se conecta a un servidor de Comando y Control (C2). El malware es capaz de robar información del sistema, incluyendo credenciales de inicio de sesión, información de la tarjeta de crédito y datos de navegación. También es capaz de descargar y ejecutar archivos maliciosos adicionales. El equipo de investigación de AnyRun descubrió que el malware utiliza una técnica de ofuscación de código para evitar la detección y  lograr distribuirse. 

Rootkit de código abierto  r77 entregado a través de NPM

ReversingLabs ha descubierto una nueva campaña de typosquatting que afecta a la plataforma sistema de gestión de paquetes por defecto para Node.js NPM. El typosquatting es una práctica en línea en la que los actores de amenaza registran nombres de dominio de sitios web que son similares a los de sitios web populares, pero con errores tipográficos comunes. La campaña comenzó en agosto e introdujo un paquete malicioso llamado "node-hide-console-windows", que descargó un bot de Discord el cual facilitó la instalación de un rootkit de código abierto llamado r77. Este es el primer paquete de código abierto malicioso que entrega funcionalidad de rootkit, lo que sugiere que los proyectos de código abierto pueden ser cada vez más vistos como una vía para distribuir malware. La campaña de typosquatting se basa en una técnica en la que los actores de amenaza crean paquetes maliciosos con nombres que se parecen mucho a los módulos de código abierto legítimos y ampliamente utilizados. Los investigadores de ReversingLabs descubrieron que el paquete malicioso de la reciente campaña, contenía un comando llamado "!rootkit", que permitía a los actores malintencionados lanzar el rootkit r77 en la máquina de la víctima. También descubrieron otro comando llamado "!unrootkit", que elimina el rootkit r77 de la máquina de la víctima.

Nuevas familias de variantes de botnets desarrolladas en base a Mirai

Los investigadores de NSFOCUS describen tres nuevas variantes de botnets basadas en una reciente campaña de Mirai: hailBot, kiraiBot y catDDoS. Estas botnets están diseñadas para llevar a cabo ataques DDoS y se han observado en la naturaleza en septiembre de 2023. 

• hailBot: desarrollado a partir del código fuente de Mirai, este botnet utiliza una técnica de ofuscación para evitar la detección. Los objetivos iniciales de hailBot eran instituciones financieras y comerciales, pero en la segunda mitad de 2022, el enfoque cambió a las plataformas IoT. El botnet admite cuatro métodos de ataque DDoS basados en los protocolos TCP y UDP.
• kiraiBot: esta variante de botnet también se basa en el código fuente de Mirai y utiliza una técnica de ofuscación similar a hailBot. kiraiBot se dirige principalmente a dispositivos IoT y utiliza una variedad de técnicas para evitar la detección.
• catDDoS: esta variante de botnet es más sofisticada que hailBot y kiraiBot. Utiliza una técnica de inyección de código para evitar la detección y es capaz de llevar a cabo ataques DDoS a gran escala. catDDoS también utiliza una técnica de propagación de gusano para infectar dispositivos IoT.

Vulnerabilidad de día cero de  WHATSAPP, puede afectar dispositivos Android

Los exploits de día cero para hackear WhatsApp valen ahora millones de dólares, según TechCrunch. Una empresa rusa que compra exploits de día cero ofreció 20 millones de dólares por cadenas de errores que permitirían a sus clientes, que según la compañía son "solo organizaciones privadas y gubernamentales rusas", comprometer de forma remota teléfonos con iOS y Android. Documentos filtrados vistos por TechCrunch muestran que, a partir de 2021, un día cero que permita a su usuario comprometer el WhatsApp de un objetivo en Android y leer el contenido de los mensajes puede costar entre 1,7 y 8 millones de dólares. El precio de los exploits de día cero ha aumentado significativamente en los últimos años, convirtiéndolos en un bien valioso tanto para los hackers como para los gobiernos. WhatsApp ha sido un objetivo popular para los hackers gubernamentales, el tipo de grupos que son más propensos a usar días cero. En 2019, los investigadores encontraron a clientes del polémico fabricante de spyware NSO Group utilizando un zero-day para atacar a usuarios de WhatsApp. Poco después, WhatsApp demandó al proveedor israelí de tecnología de vigilancia, acusándolo de abusar de su plataforma para facilitar a sus clientes el uso del día cero contra más de mil usuarios de WhatsApp. 

Vulnerabilidad crítica de TeamCity de JetBrains, permite ejecución remota de código malicioso

El equipo de investigación de vulnerabilidades de Sonar ha descubierto una vulnerabilidad crítica en TeamCity, una plataforma de integración y entrega continua (CI/CD) de JetBrains. La vulnerabilidad, rastreada como CVE-2023-42793, permite a los atacantes no autenticados ejecutar código arbitrario en el servidor de TeamCity, lo que les permite robar código fuente y claves privadas, tomar el control de los agentes de compilación adjuntos. La vulnerabilidad afecta a la versión 2023.05.3 y anteriores de TeamCity. JetBrains ha publicado una actualización de seguridad para abordar la vulnerabilidad en la versión 2023.05.4. Según Shodan, más de 3.000 servidores de TeamCity están directamente expuestos a Internet. La vulnerabilidad es crítica y puede tener un impacto significativo en la seguridad de los sistemas que utilizan TeamCity. 

Una vulnerabilidad WS_FTP Ad Hoc vía IIS, permite la ejecución remota de código malicioso 

El equipo de investigación de Assetnote ha descubierto una vulnerabilidad crítica en WS_FTP Ad Hoc, un software de transferencia de archivos administrado por Progress. La vulnerabilidad, rastreada como CVE-2023-40044, permite a los atacantes ejecutar código arbitrario en el servidor de WS_FTP Ad Hoc a través de los módulos HTTP de IIS. La vulnerabilidad afecta a la versión 2023.1 y anteriores de WS_FTP Ad Hoc. Los investigadores de Assetnote descubrieron que la vulnerabilidad podía ser explotada sin autenticación y afectaba a todo el componente de transferencia Ad Hoc de WS_FTP. La vulnerabilidad se debe a un problema de deserialización en .NET. Los módulos HTTP de IIS permiten a los desarrolladores ejecutar código dentro del ciclo de vida de una solicitud HTTP. La vulnerabilidad es crítica y puede tener un impacto significativo en la seguridad de los sistemas que utilizan WS_FTP Ad Hoc. Assetnote ha notificado a Progress sobre la vulnerabilidad y ha seguido una política de divulgación coordinada de 90 días. Se recomienda a los usuarios de WS_FTP Ad Hoc que actualicen a la versión 2023.2 o posterior para abordar la vulnerabilidad. El artículo destaca la importancia de mantener los sistemas actualizados y de implementar medidas de seguridad adecuadas para prevenir ataques.

Vulnerabilidad en paquetes de python facilitan a los actores de amenaza ejecutar código malicioso

Los investigadores de Checkmarx describen una campaña de ataque persistente en el ecosistema de Python que comenzó en abril de 2023. El actor de amenaza, que operaba bajo una variedad de nombres de usuario aparentemente aleatorios, publicó cientos de paquetes maliciosos en los repositorios de código abierto de Python. Los paquetes tenían metadatos y estructuras de código similares y lograron obtener alrededor de 75.000 mil descargas. Los paquetes maliciosos contienen código que permite a los atacantes ejecutar comandos en el sistema de la víctima y robar información confidencial, también se propagan a través de dependencias de paquetes legítimos, lo que significa que los desarrolladores que utilizan estos paquetes pueden verse afectados sin saberlo, por lo que se recomienda a los desarrolladores de software tomar medidas para protegerse, como verificar la autenticidad de los paquetes y mantener los sistemas actualizados.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 09 de octubre al 15 de octubre de 2023:

Objetivos observados durante semana de análisis: 

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

• Retail y servicios de consumo
• Infraestructura tecnológica - Componentes
• Entretenimiento, cultura y arte

• Banca y Finanzas
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia
• Transportes y servicios automotrices.

• Servicios legales y profesionales
• Educación
• Petróleo
• Servicios empresariales y comercio
• Shipment y cadena de suministros

• Industrias manufactureras, materiales y minería
• Agricultura, ganadería, silvicultura y pesca - producción
• Defensa y orden público
• Gobierno
• Organizaciones sin fines de lucro
• Servicios básicos y sanitarios
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.