El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
Código fuente de la variante 2020 del ransomware HelloKitty se filtra en foro ruso
Un actor de amenazas filtró el código fuente completo de la primera versión del ransomware HelloKitty en un foro de piratería de habla rusa, afirmando estar desarrollando un cifrador nuevo y más potente.
La filtración fue descubierta por primera vez por el investigador de ciberseguridad 3xp0rt, quien detectó que un actor de amenazas llamado 'kapuchin0' liberaba la "primera rama" del cifrador de ransomware HelloKitty.
El archivo hellokitty[.]zip publicado contiene una solución de Microsoft Visual Studio que crea el cifrador y descifrador HelloKitty y la biblioteca NTRUEncrypt que esta versión del ransomware utiliza para cifrar archivos.
Si bien la publicación del código fuente del ransomware puede resultar útil para la investigación de seguridad, la disponibilidad pública de este código tiene sus inconvenientes, ya que los actores de amenazas utilizan rápidamente estos códigos para lanzar sus propias operaciones de extorsión.
Ciberataque a la Misión Nacional de Salud en India, Knight Ransomware Group asume la responsabilidad
El grupo de ransomware Knight ha declarado abiertamente su participación en el reciente ciberataque de la Misión Nacional de Salud.
Este anuncio se produjo a través de un canal de la web oscura comúnmente frecuentado por este tipo de actores de amenazas. El grupo de ransomware Knight compartió esta actualización en su propio canal de la Dark Web, donde agregaron algunas capturas de pantalla de los ciberataques de la Misión Nacional de Salud.
Este ciberataque de la Misión Nacional de Salud, que incluyó nombres, documentos de identidad nacionales de Aadhaar, números de móviles, documentos de identidad de votantes, pasaportes y registros de vacunación contra la COVID-19 , marcó una de las mayores exposiciones de datos de la India.
Ataques de ransomware se dirigen a servidores WS_FTP sin parches
Los servidores WS_FTP expuestos a Internet que no están parchados contra una vulnerabilidad de máxima gravedad ahora son el objetivo de ataques de ransomware.
Como observaron recientemente investigadores de Sophos X-Ops, los actores de amenazas que se autodescriben como Reichsadler Cybercrime Group intentaron, sin éxito, implementar cargas útiles de ransomware creadas con un constructor LockBit 3.0 robado en septiembre de 2022.
Los atacantes intentaron escalar privilegios utilizando la herramienta de código abierto GodPotato , que permite escalar privilegios a 'NT AUTHORITY\SYSTEM' en plataformas de cliente Windows (de Windows 8 a Windows 11) y de servidor (de Windows Server 2012 a Windows Server 2022).
Afortunadamente, su intento de implementar cargas útiles de ransomware en los sistemas de la víctima se vio frustrado, impidiendo que los atacantes cifraran los datos del objetivo.
Aunque no lograron cifrar los archivos, los actores de la amenaza exigieron un rescate de 500 dólares, exigiendo el pago antes del 15 de octubre, hora estándar de Moscú.
La baja demanda de rescate podría indicar que los servidores WS_FTP vulnerables y expuestos a Internet probablemente sean objeto de ataques automatizados masivos o de una operación de ransomware sin experiencia.
Rastreada como CVE-2023-40044 , la falla es causada por una vulnerabilidad de deserialización de .NET en el módulo de transferencia ad hoc, lo que permite a atacantes no autenticados ejecutar comandos en el sistema operativo subyacente a través de solicitudes HTTP de forma remota.
El 27 de septiembre, Progress Software lanzó actualizaciones de seguridad para abordar la vulnerabilidad crítica del servidor WS_FTP, instando a los administradores a actualizar las instancias vulnerables.
Lazarus APT vinculada a Corea Del Norte lavó más de 900 millones de dólares mediante CROSS-CHAIN
Investigadores de la firma de análisis blockchain Elliptic informaron que los actores de amenazas ya han lavado un récord de 7 mil millones de dólares a través de delitos cross-chain. El término "cross-chain" se utiliza para referirse al intercambio de criptoactivos entre diferentes tokens o cadenas de bloques para lavar fondos obtenidos ilegalmente. Se estima que Lazarus lavó 900 millones de dólares entre julio de 2022 y julio de 2023 mediante este método.
Recientemente, las operaciones de aplicación de la ley se dirigieron a múltiples crypto mixer, por esta razón los actores de amenazas, tanto actores de estados-nación como grupos de delitos cibernéticos, cambiaron a tipologías de salto de activos o de cadena para lavar los activos robados. Además, los actores de amenazas están explotando la ausencia de capacidades eficientes en las principales soluciones de análisis de blockchain para identificar y supervisar las actividades entre cadenas.
Grayling un actor de amenazas nunca antes visto apunta a múltiples organizaciones en Taiwán
Un grupo de amenazas persistentes avanzadas (APT) previamente desconocido utilizó malware personalizado y múltiples herramientas disponibles públicamente para atacar a varias organizaciones de los sectores de fabricación, TI y biomédico en Taiwán.
Una agencia gubernamental ubicada en las islas del Pacífico, así como organizaciones en Vietnam y Estados Unidos, también parecen haber sido afectadas como parte de esta campaña. Esta actividad comenzó en febrero de 2023 y continuó hasta al menos mayo de 2023.
El equipo Symantec Threat Hunter, ha atribuido esta actividad a un nuevo grupo llamado Grayling. Esta actividad se destacó debido al uso por parte de Grayling de una técnica distintiva de descarga de DLL que utiliza un descifrador personalizado para implementar cargas útiles. La motivación que impulsa esta actividad parece ser la recopilación de inteligencia.
Hay indicios de que Grayling puede explotar la infraestructura pública para el acceso inicial a las máquinas víctimas. Se observó la implementación del shell web en algunas computadoras víctimas antes de que se llevara a cabo la actividad de descarga de DLL. La descarga de DLL se utiliza para cargar una variedad de cargas útiles, incluidas Cobalt Strike, NetSpy y el marco Havoc.
Los atacantes toman varias acciones una vez que obtienen acceso inicial a las computadoras de las víctimas, incluido el aumento de privilegios, el escaneo de la red y el uso de descargadores.
Las tácticas, técnicas y procedimientos (TTP) utilizados por los atacantes incluyeron:
No se ha podido vincular a Grayling con una geografía específica, pero los múltiples ataques a las organizaciones taiwanesas indican que probablemente operen desde una región con un interés estratégico en Taiwán.
Campaña Stayin Alive vinculada a China se dirige a entidades gubernamentales y de telecomunicaciones
Investigadores han descubierto una nueva campaña de ciberespionaje dirigida a la industria de las telecomunicaciones y a organizaciones gubernamentales en Kazajstán, Uzbekistán, Pakistán y Vietnam. La campaña, denominada Stayin Alive, ha estado activa desde 2021 y se vincula a un actor de amenazas chino llamado ToddyCat.
La campaña emplea correos electrónicos de phishing y carga lateral de DLL para entregar archivos a los sistemas de las víctimas. Además, explota una vulnerabilidad previamente conocida (CVE-2022-23748) en el software Dante Discovery de Audinate al secuestrar dal_keepaliver[.]dll. Después de una explotación exitosa, los atacantes implementan una variedad de descargadores y cargadores, que sirven como canales para la ejecución posterior de cargas útiles maliciosas adicionales. Durante el descubrimiento inicial de la campaña, se utilizó un descargador de malware llamado CurKeep como parte del proceso de infección.
Si bien la campaña permanece activa, es interesante observar que en el pasado reciente se han observado ataques similares por parte de actores de amenazas chinos.
Actores de amenazas implementan agente Athena en un ataque de phishing avanzado
Investigadores de Cyble Research and Intelligence Labs (CRIL) han descubierto un ataque de phishing dirigido a un destacado proveedor ruso de semiconductores.
Los actores de amenazas detrás de este ataque utilizaron una vulnerabilidad crítica de ejecución remota de código (RCE), identificada como CVE-2023-38831, para implementar su carga útil. Esta carga útil maliciosa, agente Athena del marco Mythic C2, está diseñada para otorgar un control total sobre los sistemas comprometidos.
Diseñado utilizando la versión multiplataforma de .NET (que no debe confundirse con .Net Framework), es un "agente multiplataforma con todas las funciones" para Mythic 3.0 y versiones posteriores.
Athena viene cargado de funciones, como multiplataforma para Windows, Linux y OSX , compatibilidad con SOCKS5, reenvío de puertos inverso, carga reflectante de ensamblajes, carga modular de comandos y mucho más.
Estas acciones abarcan inyectar ensamblaje, ejecutar Shellcode, capturar detalles de autenticación , cargar archivos de objetos de baliza (BOF) y una variedad de otras funcionalidades. Esta herramienta sirve como un componente crítico en el conjunto de herramientas del atacante.
ShellBot utiliza direcciones IP hexadecimales para evadir la detección en ataques a servidores SSH de Linux
Los actores de amenazas detrás de ShellBot están aprovechando las direcciones IP transformadas a su notación hexadecimal para infiltrarse en servidores SSH Linux mal administrados e implementar el malware para ejecutar ataques de tipo DDoS.
Se sabe que ShellBot, también conocido con el nombre de PerlBot, afecta a servidores que tienen credenciales SSH débiles mediante un ataque de diccionario , utilizando el malware como conducto para organizar ataques DDoS y entregar mineros de criptomonedas .
Desarrollado en Perl, el malware utiliza el protocolo IRC para comunicarse con un servidor de comando y control (C2).
Se ha descubierto que el último conjunto de ataques observados que involucran a ShellBot instala el malware utilizando direcciones IP hexadecimales , en lo que se considera un intento de evadir firmas de detección basadas en URL. El desarrollo es una señal de que ShellBot continúa siendo testigo de un uso constante para lanzar ataques contra sistemas Linux.
Malware DarkGate reaparece tras ser vendido como Malware como Servicio (MaaS)
DarkGate es un malware básico pero versátil, que puede recopilar datos confidenciales de navegadores web, realizar minería de criptomonedas y permitir a los operadores controlar de forma remota los sistemas infectados. También actúa como descargador de cargas útiles adicionales, incluido el conocido Remcos RAT.
Desde junio 2023 hasta la fecha, se ha observado un aumento en las campañas de ingeniería social que distribuyen DarkGate, esto debido a que su creador comenzó a promocionarlo activamente en plataformas de ciberdelincuencia, ofreciéndolo como MaaS (Malware como Servicio), aprovechando tácticas como correos electrónicos de phishing y envenenamiento de optimización de motores de búsqueda para atraer a usuarios desprevenidos a instalarlo.
DarkGate representa una amenaza significativa en el panorama de la ciberseguridad. Su propagación a través de plataformas de mensajería instantánea y su capacidad para llevar a cabo una amplia gama de actividades maliciosas, incluida la recopilación de datos, la minería de criptomonedas y el control remoto de sistemas, lo convierten en un riesgo para organizaciones y usuarios en todo el mundo.
La concienciación sobre las tácticas de ingeniería social utilizadas en la distribución de este malware y la implementación de medidas de seguridad cibernética efectivas son esenciales para mitigar esta amenaza en constante evolución.
Para más información visitar:
https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1741/
Patch Day SAP – Octubre 2023
En el martes de parches SAP de octubre 2023, se publicaron 6 nuevos avisos de seguridad para los productos SAP, los que contemplan 6 vulnerabilidades de severidad Media.
Esta publicación contempla 6 avisos nuevos y 3 actualizaciones que ya fueron abordadas anteriormente.
Para mayor información visitar: Patch Day SAP – Octubre 2023
Patch Tuesday Microsoft de octubre, corrige 104 vulnerabilidades
En su actualización programada para el martes de parches de octubre 2023, Microsoft informó 104 correcciones de seguridad. Entre ellas 3 Zero day.
Del total de vulnerabilidades, 12 fueron catalogadas de severidad crítica y 92 son catalogadas como importantes. Adicionalmente existe 1 vulnerabilidad de Microsoft Edge (Chromium-based) que no está considerada en este conteo.
Las vulnerabilidades se pueden clasificar de la siguiente forma:
Para mayor información visitar: Patch Tuesday Microsoft de octubre, corrige 104 vulnerabilidades
Fortinet publica nuevas vulnerabilidades en sus productos
Fortinet ha publicado 25 nuevos avisos de seguridad que contemplan 25 vulnerabilidades de las cuales 3 son de severidad Crítica, 8 de severidad Alta, 11 de severidad Media y 3 de severidad Baja, estas vulnerabilidades afectan a los siguientes productos:
Para mayor información visitar: Fortinet publica nuevas vulnerabilidades en sus productos
F5 publica vulnerabilidades en sus productos BIG-IP y otros
F5 ha publicado 16 nuevos avisos de seguridad que contemplan 16 vulnerabilidades, de las cuales 10 son de severidad Alta y 6 de severidad Media. Estas fallas afectan a los siguientes productos en diversas versiones:
Para mayor información visitar: F5 publica vulnerabilidades en sus productos BIG-IP y otros
Citrix notifica 2 nuevos avisos de seguridad que afectan a sus productos
Citrix ha publicado 2 nuevos avisos de seguridad que contemplan 6 vulnerabilidades, categorizadas en 1 de severidad Crítica y 1 se severidad Alta, 1 de severidad Media, y 3 sin clasificación. Estas fallas afectan a los siguientes productos:
Para mayor información visitar: Citrix notifica 2 nuevos avisos de seguridad que afectan a sus productos
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 16 al 22 de octubre de 2023:
Objetivos observados durante semana de análisis:
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: