ENTEL Weekly Threat Intelligence Brief del 10 al 15 de octubre de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Código fuente de la variante 2020 del ransomware HelloKitty se filtra en foro ruso
• Ciberataque a la Misión Nacional de Salud en India, Knight Ransomware Group asume la responsabilidad
• Ataques de ransomware ahora se dirigen a servidores WS_FTP sin parches
• Grayling un actor de amenazas nunca antes visto apunta a múltiples organizaciones en Taiwán
• Campaña Stayin Alive vinculada a China se dirige  a entidades gubernamentales y de telecomunicaciones
• Actores de amenazas implementan agente Athena en un ataque de phishing avanzado
• ShellBot utiliza direcciones IP hexadecimales para evadir la detección en ataques a servidores SSH de Linux
• Lazarus APT vinculada a Corea Del Norte lavó más de 900 millones de dólares mediante CROSS-CHAIN
• Malware DarkGate reaparece tras ser vendido como Malware como Servicio (MaaS)
• Patch Day SAP – Octubre 2023
• Patch Tuesday Microsoft de octubre, corrige 104 vulnerabilidades
• Fortinet publica nuevas vulnerabilidades en sus productos
• F5 publica vulnerabilidades en sus productos BIG-IP y otros
• Citrix notifica 2 nuevos avisos de seguridad que afectan a sus productos

Código fuente de la variante 2020 del ransomware HelloKitty se filtra en foro ruso

Un actor de amenazas filtró el código fuente completo de la primera versión del ransomware HelloKitty en un foro de piratería de habla rusa, afirmando estar desarrollando un cifrador nuevo y más potente.

La filtración fue descubierta por primera vez por el investigador de ciberseguridad 3xp0rt, quien detectó que un actor de amenazas llamado 'kapuchin0' liberaba la "primera rama" del cifrador de ransomware HelloKitty.

El archivo hellokitty[.]zip publicado contiene una solución de Microsoft Visual Studio que crea el cifrador y descifrador HelloKitty y la  biblioteca NTRUEncrypt  que esta versión del ransomware utiliza para cifrar archivos.

Si bien la publicación del código fuente del ransomware puede resultar útil para la investigación de seguridad, la disponibilidad pública de este código tiene sus inconvenientes, ya que los actores de amenazas utilizan rápidamente estos códigos para  lanzar sus propias operaciones de extorsión.

Ciberataque a la Misión Nacional de Salud en India, Knight Ransomware Group asume la responsabilidad

El grupo de ransomware Knight ha declarado abiertamente su participación en el reciente ciberataque de la Misión Nacional de Salud.

Este anuncio se produjo a través de un canal de la web oscura comúnmente frecuentado por este tipo de actores de amenazas. El grupo de ransomware Knight compartió esta actualización en su propio canal de la Dark Web, donde agregaron algunas capturas de pantalla de los ciberataques de la Misión Nacional de Salud.

Este ciberataque de la Misión Nacional de Salud, que incluyó nombres, documentos de identidad nacionales de Aadhaar, números de móviles, documentos de identidad de votantes, pasaportes y registros de vacunación contra la COVID-19 , marcó una de las mayores exposiciones de datos de la India.
 

Ataques de ransomware se dirigen a servidores WS_FTP sin parches

Los servidores WS_FTP expuestos a Internet que no están parchados contra una vulnerabilidad de máxima gravedad ahora son el objetivo de ataques de ransomware. 

Como observaron recientemente investigadores de Sophos X-Ops, los actores de amenazas que se autodescriben como Reichsadler Cybercrime Group intentaron, sin éxito, implementar cargas útiles de ransomware creadas  con un constructor LockBit 3.0  robado en septiembre de 2022.

Los atacantes intentaron escalar privilegios utilizando la herramienta de código abierto  GodPotato  , que permite escalar privilegios a 'NT AUTHORITY\SYSTEM' en plataformas de cliente Windows (de Windows 8 a Windows 11) y de servidor (de Windows Server 2012 a Windows Server 2022).

Afortunadamente, su intento de implementar cargas útiles de ransomware en los sistemas de la víctima se vio frustrado, impidiendo que los atacantes cifraran los datos del objetivo.

Aunque no lograron cifrar los archivos, los actores de la amenaza exigieron un rescate de 500 dólares, exigiendo el pago antes del 15 de octubre, hora estándar de Moscú.

La baja demanda de rescate podría indicar que los servidores WS_FTP vulnerables y expuestos a Internet probablemente sean objeto de ataques automatizados masivos o de una operación de ransomware sin experiencia.

​Rastreada como  CVE-2023-40044 , la falla es causada por una vulnerabilidad de deserialización de .NET en el módulo de transferencia ad hoc, lo que permite a atacantes no autenticados ejecutar comandos en el sistema operativo subyacente a través de solicitudes HTTP de forma remota.

El 27 de septiembre, Progress Software  lanzó actualizaciones de seguridad  para abordar la vulnerabilidad crítica del servidor WS_FTP, instando a los administradores a actualizar las instancias vulnerables.

Lazarus APT vinculada a Corea Del Norte lavó más de 900 millones de dólares mediante CROSS-CHAIN

Investigadores de la firma de análisis blockchain Elliptic informaron que los actores de amenazas ya han lavado un récord de 7 mil millones de dólares a través de delitos cross-chain. El término "cross-chain" se utiliza para referirse al intercambio de criptoactivos entre diferentes tokens o cadenas de bloques para lavar fondos obtenidos ilegalmente. Se estima que Lazarus lavó 900 millones de dólares entre julio de 2022 y julio de 2023 mediante este método.

Recientemente, las operaciones de aplicación de la ley se dirigieron a múltiples crypto mixer, por esta razón los actores de amenazas, tanto actores de estados-nación como grupos de delitos cibernéticos, cambiaron a tipologías de salto de activos o de cadena para lavar los activos robados. Además, los actores de amenazas están explotando la ausencia de capacidades eficientes en las principales soluciones de análisis de blockchain para identificar y supervisar las actividades entre cadenas.

Grayling un actor de amenazas nunca antes visto apunta a múltiples organizaciones en Taiwán

Un grupo de amenazas persistentes avanzadas (APT) previamente desconocido utilizó malware personalizado y múltiples herramientas disponibles públicamente para atacar a varias organizaciones de los sectores de fabricación, TI y biomédico en Taiwán.

Una agencia gubernamental ubicada en las islas del Pacífico, así como organizaciones en Vietnam y Estados Unidos, también parecen haber sido afectadas como parte de esta campaña. Esta actividad comenzó en febrero de 2023 y continuó hasta al menos mayo de 2023.

El equipo Symantec Threat Hunter, ha atribuido esta actividad a un nuevo grupo llamado Grayling. Esta actividad se destacó debido al uso por parte de Grayling de una técnica distintiva de descarga de DLL que utiliza un descifrador personalizado para implementar cargas útiles. La motivación que impulsa esta actividad parece ser la recopilación de inteligencia.

Hay indicios de que Grayling puede explotar la infraestructura pública para el acceso inicial a las máquinas víctimas. Se observó la implementación del shell web en algunas computadoras víctimas antes de que se llevara a cabo la actividad de descarga de DLL. La descarga de DLL se utiliza para cargar una variedad de cargas útiles, incluidas Cobalt Strike, NetSpy y el marco Havoc. 

Los atacantes toman varias acciones una vez que obtienen acceso inicial a las computadoras de las víctimas, incluido el aumento de privilegios, el escaneo de la red y el uso de descargadores.

Las tácticas, técnicas y procedimientos (TTP) utilizados por los atacantes incluyeron: 

• Havoc: un marco de comando y control posterior a la explotación de código abierto que los atacantes comenzaron a usar a principios de 2023, aparentemente como una alternativa a Cobalt Strike y herramientas similares. Havoc puede realizar una variedad de actividades que incluyen ejecutar comandos, administrar procesos, descargar cargas útiles adicionales, manipular tokens de Windows y ejecutar shellcode. Havoc también se destaca por ser multiplataforma. 
• Cobalt Strike: una herramienta lista para usar que se puede usar para ejecutar comandos, inyectar otros procesos, elevar procesos actuales o hacerse pasar por otros procesos, y cargar y descargar archivos. Aparentemente tiene usos legítimos como herramienta de pruebas de penetración, pero invariablemente es explotado por actores maliciosos.
• NetSpy: una  herramienta de software espía disponible públicamente .
• Explotación de CVE-2019-0803 : una vulnerabilidad de elevación de privilegios que existe en Windows cuando el componente Win32k no logra manejar correctamente los objetos en la memoria.
• Descubrimiento de Active Directory: se utiliza para consultar Active Directory y ayudar a mapear la red.
• Mimikatz:  herramienta de volcado de credenciales  disponible públicamente .
• Matar procesos
• Descargadores 
• Carga útil desconocida descargada de imfsb[.]ini

No se ha podido vincular a Grayling con una geografía específica, pero los múltiples ataques a las organizaciones taiwanesas indican que probablemente operen desde una región con un interés estratégico en Taiwán.

Campaña Stayin Alive vinculada a China se dirige  a entidades gubernamentales y de telecomunicaciones

Investigadores han descubierto una nueva campaña de ciberespionaje dirigida a la industria de las telecomunicaciones y a organizaciones gubernamentales en Kazajstán, Uzbekistán, Pakistán y Vietnam. La campaña, denominada Stayin Alive, ha estado activa desde 2021 y se vincula a un actor de amenazas chino llamado ToddyCat.

La campaña emplea correos electrónicos de phishing y carga lateral de DLL para entregar archivos a los sistemas de las víctimas. Además, explota una vulnerabilidad previamente conocida (CVE-2022-23748) en el software Dante Discovery de Audinate al secuestrar dal_keepaliver[.]dll. Después de una explotación exitosa, los atacantes implementan una variedad de descargadores y cargadores, que sirven como canales para la ejecución posterior de cargas útiles maliciosas adicionales. Durante el descubrimiento inicial de la campaña, se utilizó un descargador de malware llamado CurKeep como parte del proceso de infección.

Si bien la campaña permanece activa, es interesante observar que en el pasado reciente se han observado ataques similares por parte de actores de amenazas chinos.

Actores de amenazas implementan agente Athena en un ataque de phishing avanzado

Investigadores de Cyble Research and Intelligence Labs (CRIL) han descubierto un ataque de phishing dirigido a un destacado proveedor ruso de semiconductores.

Los actores de amenazas detrás de este ataque utilizaron una vulnerabilidad crítica de ejecución remota de código (RCE), identificada como CVE-2023-38831, para implementar su carga útil. Esta carga útil maliciosa, agente Athena del marco Mythic C2, está diseñada para otorgar un control total sobre los sistemas comprometidos.

Diseñado utilizando la versión multiplataforma de .NET (que no debe confundirse con .Net Framework), es un "agente multiplataforma con todas las funciones" para Mythic 3.0 y versiones posteriores.

Athena viene cargado de funciones, como multiplataforma para Windows, Linux y OSX , compatibilidad con SOCKS5, reenvío de puertos inverso, carga reflectante de ensamblajes, carga modular de comandos y mucho más.

Estas acciones abarcan inyectar ensamblaje, ejecutar Shellcode, capturar detalles de autenticación , cargar archivos de objetos de baliza (BOF) y una variedad de otras funcionalidades. Esta herramienta sirve como un componente crítico en el conjunto de herramientas del atacante.

ShellBot utiliza direcciones IP hexadecimales para evadir la detección en ataques a servidores SSH de Linux

Los actores de amenazas detrás de ShellBot están aprovechando las direcciones IP transformadas a su notación hexadecimal para infiltrarse en servidores SSH Linux mal administrados e implementar el malware para ejecutar ataques de tipo DDoS.

Se sabe que ShellBot, también conocido con el nombre de PerlBot, afecta a servidores que tienen credenciales SSH débiles mediante un ataque de diccionario , utilizando el malware como conducto para organizar ataques DDoS y entregar mineros de criptomonedas .

Desarrollado en Perl, el malware utiliza el protocolo IRC para comunicarse con un servidor de comando y control (C2).

Se ha descubierto que el último conjunto de ataques observados que involucran a ShellBot instala el malware utilizando direcciones IP hexadecimales , en lo que se considera un intento de evadir firmas de detección basadas en URL. El desarrollo es una señal de que ShellBot continúa siendo testigo de un uso constante para lanzar ataques contra sistemas Linux.
 

Malware DarkGate reaparece tras ser vendido como Malware como Servicio (MaaS) 

DarkGate es un malware básico pero versátil, que puede recopilar datos confidenciales de navegadores web, realizar minería de criptomonedas y permitir a los operadores controlar de forma remota los sistemas infectados. También actúa como descargador de cargas útiles adicionales, incluido el conocido Remcos RAT.

Desde junio 2023 hasta la fecha, se ha observado un aumento en las campañas de ingeniería social que distribuyen DarkGate, esto debido a que su creador comenzó a promocionarlo activamente en plataformas de ciberdelincuencia, ofreciéndolo como MaaS (Malware como Servicio), aprovechando tácticas como correos electrónicos de phishing y envenenamiento de optimización de motores de búsqueda para atraer a usuarios desprevenidos a instalarlo. 

DarkGate representa una amenaza significativa en el panorama de la ciberseguridad. Su propagación a través de plataformas de mensajería instantánea y su capacidad para llevar a cabo una amplia gama de actividades maliciosas, incluida la recopilación de datos, la minería de criptomonedas y el control remoto de sistemas, lo convierten en un riesgo para organizaciones y usuarios en todo el mundo. 

La concienciación sobre las tácticas de ingeniería social utilizadas en la distribución de este malware y la implementación de medidas de seguridad cibernética efectivas son esenciales para mitigar esta amenaza en constante evolución.

Para más información visitar:
https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1741/

Patch Day SAP – Octubre 2023

En el martes de parches SAP de octubre 2023, se publicaron 6 nuevos avisos de seguridad para los productos SAP, los que contemplan 6 vulnerabilidades de severidad Media.

Esta publicación contempla 6 avisos nuevos y 3 actualizaciones que ya fueron abordadas anteriormente.

Para mayor información visitar: Patch Day SAP – Octubre 2023
 

Patch Tuesday Microsoft de octubre, corrige 104 vulnerabilidades

En su actualización programada para el martes de parches de octubre 2023, Microsoft informó 104 correcciones de seguridad. Entre ellas 3 Zero day. 

Del total de vulnerabilidades, 12 fueron catalogadas de severidad crítica y 92 son catalogadas como importantes. Adicionalmente existe 1 vulnerabilidad de Microsoft Edge (Chromium-based) que no está considerada en este conteo. 

Las vulnerabilidades se pueden clasificar de la siguiente forma:

• 45 Vulnerabilidades de ejecución remota de código
• 26 Vulnerabilidades elevación de privilegios
• 12 Vulnerabilidades de divulgación de información
• 1 Vulnerabilidad de suplantación de identidad
• 3 Vulnerabilidades de anulación de funciones de seguridad
• 17 Vulnerabilidades de denegación de servicio

Para mayor información visitar: Patch Tuesday Microsoft de octubre, corrige 104 vulnerabilidades

Fortinet publica nuevas vulnerabilidades en sus productos

Fortinet ha publicado 25 nuevos avisos de seguridad que contemplan 25 vulnerabilidades de las cuales 3 son de severidad Crítica, 8 de severidad Alta, 11 de severidad Media y  3 de severidad Baja, estas vulnerabilidades afectan a los siguientes productos:

• FortiProxy 
• FortiMail
• FortiManager
• FortiOS 
• Entre otros

Para mayor información visitar: Fortinet publica nuevas vulnerabilidades en sus productos
 

F5 publica vulnerabilidades en sus productos BIG-IP y otros

F5 ha publicado 16 nuevos avisos de seguridad que contemplan 16 vulnerabilidades, de las cuales  10 son de severidad Alta y 6 de severidad Media. Estas fallas afectan a los siguientes productos en diversas versiones:

• BIG-IP
• VIPIRON
• BIG-IQ DB

Para mayor información visitar: F5 publica vulnerabilidades en sus productos BIG-IP y otros

Citrix notifica 2 nuevos avisos de seguridad que afectan a sus productos

Citrix ha publicado 2 nuevos avisos de seguridad que contemplan 6 vulnerabilidades, categorizadas en 1 de severidad Crítica y 1 se severidad Alta, 1 de severidad Media, y 3 sin clasificación. Estas fallas afectan a los siguientes productos:

• NetScaler
• Hypervisor
• XenServer

Para mayor información visitar: Citrix notifica 2 nuevos avisos de seguridad que afectan a sus productos

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 16 al 22 de octubre de 2023:

Objetivos observados durante semana de análisis: 

• Servicios de salud, sociales y farmacia
• Servicios legales y profesionales
• Servicios empresariales y comercio
• Retail y servicios de consumo
• Infraestructura tecnológica - Componentes
• Industrias manufactureras, materiales y minería
• Transportes y servicios automotrices.
• Infraestructura tecnológica
• Banca y Finanzas
• Construcción e inmobiliaria
• Organizaciones sin fines de lucro
• Defensa y orden público
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo
• Agricultura, ganadería, silvicultura y pesca - producción
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Petróleo
• Servicios básicos y sanitarios
• Shipment y cadena de suministros

• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Construcción e inmobiliaria
• Banca y Finanzas
• Servicios empresariales y comercio
• Infraestructura tecnológica - Componentes
• Educación
• Servicios de salud, sociales y farmacia
• Servicios básicos y sanitarios

• Servicios legales y profesionales
• Shipment y cadena de suministros
• Organizaciones sin fines de lucro
• Turismo, hoteles y restaurantes

• Transportes y servicios automotrices.
• Gobierno
• Petróleo

• Retail y servicios de consumo
• Entretenimiento, cultura y arte
• Defensa y orden público
• Agricultura, ganadería, silvicultura y pesca - producción
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.