El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
LockBit amenaza a Boeing con filtrar datos robados en ciberataque
Boeing está investigando un ciberataque que afectó a su negocio de distribución y repuestos después de que la banda de ransomware LockBit afirmara haber comprometido la red de la compañía y robado datos. La compañía asegura que el incidente no afectó la seguridad de los vuelos y está colaborando con agencias reguladoras y policiales en una investigación interna en curso, así mismo ha notificado a sus clientes y proveedores sobre el incidente.
El sitio web de servicios de Boeing actualmente no funciona con un mensaje que dice que la interrupción en curso se debe a "problemas técnicos".
LockBit amenazó con filtrar información robada si Boeing no se comunicaba antes de una fecha límite, aunque la página de filtración de datos en su sitio web oscuro ya ha sido eliminada.
La banda de ransomware LockBit ha sido responsable de numerosos ataques en todo el mundo y ha extorsionado grandes sumas de dinero a organizaciones estadounidenses en los últimos años. Boeing, uno de los gigantes aeroespaciales y de defensa más grandes del mundo, está evaluando la situación y colaborando con las autoridades en la investigación.
Ransomware HelloKitty aprovecha vulnerabilidad crítica en Apache ActiveMQ
El grupo de ransomware HelloKitty está aprovechando una vulnerabilidad crítica de ejecución remota de código (CVE-2023-46604) en Apache ActiveMQ para infiltrarse en redes y cifrar dispositivos. Esta vulnerabilidad, con un puntaje CVSS de 10.0, permite a los atacantes ejecutar comandos de shell arbitrarios mediante la explotación de tipos de clases serializadas en el protocolo OpenWire. A pesar de una actualización de seguridad publicada el 25 de octubre de 2023, hasta el 30 de octubre aún es posible encontrar más de tres mil servidores expuestos a Internet utilizando versiones vulnerables.
Rapid7 informó que han detectado al menos dos casos de actores de amenazas explotando CVE-2023-46604 para distribuir el ransomware HelloKitty y extorsionar a las organizaciones afectadas. HelloKitty es una operación de ransomware que se dio a conocer en 2020 y recientemente se filtró su código fuente en foros de ciberdelincuencia de habla rusa.
Los ataques comenzaron tan solo dos días después de que Apache publicará la actualización de seguridad. Rapid7 analizó los archivos MSI utilizados en los ataques y descubrió que contenían un ejecutable .NET que realizaba acciones maliciosas, como cifrar archivos y detener procesos específicos.
Se insta a los administradores de sistemas a aplicar las actualizaciones de seguridad de Apache ActiveMQ lo antes posible para mitigar esta amenaza. Las versiones vulnerables oscilan entre 5.15 y 5.18, y las correcciones están disponibles en las versiones 5.15.16, 5.16.7, 5.17.6 y 5.18.3. La vulnerabilidad sigue siendo una preocupación debido a la persistencia de servidores no parcheados.
Sindicato de Pilotos de American Airlines fue afectado por un ataque de tipo ransomware
Allied Pilots Association (APA), es el sindicato que representa alrededor de 15.000 pilotos de American Airlines, y quienes sufrieron un ataque de ransomware el pasado lunes 30 de octubre, aunque la APA confirmó que ciertos sistemas se vieron comprometidos y cifrados, aún no ha revelado si la información personal de los pilotos se vio comprometida o la cantidad exacta de personas afectadas.
El sindicato está trabajando con expertos externos en ciberseguridad para evaluar el alcance total del incidente y está restaurando sus sistemas a partir de copias de seguridad.
Este ataque de ransomware se suma a una serie de problemas de seguridad cibernética que ha enfrentado American Airlines en los últimos años, incluyendo violaciones de datos y ataques anteriores.
Botnet Mozi fue extrañamente desactivada, un alivio temporal en la lucha contra el malware
La botnet de malware Mozi, conocida por realizar ataques de denegación de servicio distribuido (DDoS) principalmente en dispositivos IoT, experimentó una extraña desactivación en agosto de 2023. Según un informe de Eset, la actividad de la botnet se desvaneció inicialmente en India el 8 de agosto, seguida por un cese similar en China, donde se originó la botnet, el 16 de agosto. Luego, el 27 de septiembre, un mensaje UDP fue enviado a todos los bots de Mozi, desencadenando una serie de acciones que incluyeron la terminación del proceso de malware, la deshabilitación de servicios del sistema y el reemplazo de archivos Mozi.
El análisis de código reveló similitudes entre el código original de Mozi y los binarios utilizados en la desactivación, lo que sugiere la posible participación de los creadores originales de la botnet o las autoridades chinas en esta acción. Aunque la desactivación de Mozi es una buena noticia, sigue habiendo muchas otras botnets de malware DDoS en busca de dispositivos IoT vulnerables en la web, por lo que se insta a los usuarios a tomar medidas de seguridad, como actualizar firmware y usar contraseñas seguras.
Botnet Proxy 'Socks5Systemz' infecta 10.000 dispositivos y vende acceso a suscriptores
La botnet proxy conocida como 'Socks5Systemz' ha infectado alrededor de 10.000 dispositivos en todo el mundo, convirtiéndolos en servidores proxy que se venden a suscriptores por precios que van desde $1 a $140 (USD) al día en criptomonedas. El malware Socks5Systemz se distribuye a través de cargadores de malware como 'PrivateLoader' y 'Amadey' y se propaga mediante phishing, kits de explotación y otros medios. La botnet ha existido desde al menos 2016, pero recientemente ha llamado la atención.
El bot se inyecta en la memoria del host y establece la persistencia a través de un servicio de Windows llamado 'ContentDWSvc'. Utiliza un sistema de algoritmo de generación de dominio para conectarse con su servidor de comando y control (C2). Los dispositivos infectados se utilizan como servidores proxy y se venden a otros actores de amenazas. La infraestructura de control de la botnet se encuentra en Europa, principalmente en Francia. La distribución geográfica de las infecciones es global, con un mayor número en India, Estados Unidos y varios países de América del Sur y África.
La botnet ofrece dos niveles de suscripción, "Estándar" y "VIP", con diferencias en el número de subprocesos y tipos de proxy permitidos. Estos servicios se utilizan para eludir restricciones geográficas y tienen un impacto significativo en la seguridad de Internet y el secuestro no autorizado de ancho de banda.
Turla y su evolución: nueva versión de la puerta trasera Kazuar se enfoca en el sigilo y evasión
El grupo de hackers ruso Turla, también conocido como Pensive Ursa, ha sido observado utilizando una versión actualizada de la puerta trasera Kazuar en sus ataques. Kazuar es un implante basado en .NET que se caracteriza por su capacidad para interactuar sigilosamente con sistemas comprometidos y extraer datos.
Este grupo, vinculado al Servicio Federal de Seguridad de Rusia (FSB), ha estado activo desde al menos 2004 y ha sido implicado en ataques dirigidos en Europa del Este y Ucrania.
Investigadores de Palo Alto a través de un informe, han detectado las mejoras en Kazuar e indican que Turla continúa evolucionando sus métodos de ataque y sofisticación, incluyendo el uso de técnicas avanzadas de antianálisis y cifrado de cadenas personalizados para evadir la detección. La puerta trasera Kazuar opera en un modelo de subprocesos múltiples, lo que le permite establecer un control de flujo asincrónico y modular. Esta amenaza admite una amplia gama de funciones que facilitan la recopilación de datos, el robo de credenciales y la comunicación con los servidores de comando y control (C2) a través de HTTP. Además, Kazuar puede funcionar como un proxy para recibir y enviar comandos a otros agentes de Kazuar en la red infectada, lo que amplía su sigilo y complejidad.
Estas capacidades antianálisis aseguran que Kazuar permanezca inactivo y cese la comunicación C2 si se detecta cualquier intento de depuración o análisis. En otro desarrollo relacionado, varias organizaciones estatales e industriales en Rusia han sido atacadas con una puerta trasera personalizada basada en Go, aunque el actor de amenazas detrás de la operación sigue siendo desconocido.
StripeFly, un malware avanzado que pasó desapercibido por más de 5 años
Según una investigación de Kaspersky, el malware denominado StripeFly ha logrado pasar desapercibido durante más de cinco años, infectando al menos un millón de dispositivos en todo el mundo. Kaspersky identificó esta amenaza como un "intrincado marco modular" que afecta tanto a sistemas Linux como Windows. El malware forma parte de una entidad más grande que utiliza un exploit personalizado llamado EternalBlue SMBv1 para infiltrarse en sistemas de acceso público.
StripeFly puede descargar archivos binarios de un repositorio remoto y ejecutar scripts de PowerShell. Además, puede recopilar datos confidenciales y desinstalarse, este malware opera de manera sigilosa y se comunica con servidores de comando y control a través de la red TOR.
StripeFly se propaga a través de sistemas infectados y garantiza la persistencia modificando el Registro de Windows o creando entradas en el programador de tareas. Además, se ha descubierto que descarga un minero de criptomonedas Monero para ocultar sus actividades maliciosas. Aunque se desconoce el propósito exacto de StripeFly, su sofisticación y persistencia sugieren la participación de un actor de amenaza avanzado (APT). La similitud con prácticas y estilos de codificación vistos en otros ciberataques sugiere una conexión con Equation Group y STRAITBIZARRE. A pesar de la aparición del ransomware ThunderCrypt, el propósito real del malware sigue siendo un misterio.
Malware BiBi-Linux sobrescribe archivos en lugar de cifrarlos en ataques selectivos
Un nuevo malware llamado BiBi-Linux está siendo utilizado por grupos hacktivistas Pro-Hamas, en ataques dirigidos a sistemas Linux de empresas israelíes. A diferencia de la mayoría de los ransomware, BiBi-Linux no establece comunicación con servidores remotos ni ofrece notas de rescate. En cambio, corrompe los archivos sobrescribiéndolos con datos inútiles y daña tanto los datos como el sistema operativo.
El malware permite a los atacantes elegir qué carpetas cifrar y puede borrar completamente el sistema operativo si se ejecuta con privilegios de root. BiBi-Linux utiliza múltiples subprocesos y un sistema de cola para mejorar la velocidad y la eficacia. Además, agrega una extensión a los archivos que indica cuántas veces se han sobrescrito. La falta de ofuscación y medidas de protección en el malware sugiere que los actores de amenazas se centran en maximizar el impacto de sus ataques.
Los ataques de malware destructivo son utilizados por diversos grupos de amenazas, incluyendo a actores rusos, como parte de sus operaciones en países como Ucrania.
Nueva campaña publicitaria maliciosa promociona versiones falsas de PyCharm a través de Google
Una reciente campaña de publicidad maliciosa detectada por Malwarebytes, ha sido descubierta promoviendo versiones falsas de PyCharm a través de Google.
El ataque aprovecha anuncios dinámicos de búsqueda de Google y se basa en un sitio web comprometido sin el conocimiento de su propietario. Cuando las víctimas hacen clic en el anuncio, son redirigidas a una página web pirateada que ofrece enlaces para descargar la aplicación PyCharm falsa. La ejecución del instalador PyCharm da como resultado la implementación de varias familias de infostealer y cargadores, como Amadey, PrivateLoader, RedLine, Stealc y Vidar, una avalancha de amenazas, que deja el sistema infectado completamente inutilizable.
Este nuevo hallazgo, destaca cómo los actores de amenazas pueden abusar de las campañas publicitarias de Google para distribuir malware de manera efectiva.
Malware NodeStealer: una amenaza que se propaga a través de anuncios maliciosos en Facebook
Una campaña de malware recientemente descubierta por Bitdefender, está utilizando cuentas comerciales comprometidas en Facebook para publicar anuncios falsos con imágenes provocativas de mujeres jóvenes.
Estos anuncios engañan a las víctimas para que descarguen una versión actualizada de NodeStealer, un malware que roba cookies y contraseñas de navegadores.
NodeStealer fue revelado por primera vez en mayo de 2023 y ha evolucionado para aprovechar una variante basada en Python en sus ataques.
La campaña se centra en usuarios masculinos de Facebook en Europa, África y el Caribe, y su objetivo es comprometer cuentas y robar cookies para evitar medidas de seguridad, como la autenticación de dos factores. Esta amenaza forma parte de un creciente ecosistema de ciberdelincuencia en Vietnam, donde se utilizan principalmente anuncios de Facebook como vector de propagación.
Vulnerabilidad crítica en Cisco IOS XE explotada a gran escala: análisis de CVE-2023-20198
Se ha hecho público el código de explotación de la vulnerabilidad crítica de Cisco IOS XE, conocida como CVE-2023-20198, que fue utilizada como día cero para comprometer decenas de miles de dispositivos. Los investigadores de Horizon3.ai han detallado cómo un atacante puede eludir la autenticación en dispositivos vulnerables y crear un nuevo usuario con privilegios de nivel 15, lo que otorga control total sobre el dispositivo.
El ataque se basa en la manipulación de solicitudes HTTP al servicio Web Services Management Agent (WMSA) y la explotación de IOS XE de Cisco. Una vez comprometido, el atacante tiene control total sobre el dispositivo y puede instalar implantes maliciosos en el disco sin necesidad de explotar otras vulnerabilidades.
Cisco ha lanzado parches para la mayoría de las versiones de IOS XE, pero la versión 17.3 aún está afectada. Aunque la empresa ha abordado la vulnerabilidad en las Actualizaciones de Mantenimiento de Software (SMU), miles de dispositivos continúan comprometidos. Inicialmente, se encontraron alrededor de 10.000 dispositivos afectados. La vulnerabilidad se explotó desde un día cero antes de que Cisco la revelara en octubre, y muchos de los dispositivos comprometidos pertenecen a proveedores de telecomunicaciones e Internet en todo el mundo.
Atlassian advierte sobre vulnerabilidad crítica en Confluence que podría causar pérdida de datos
Atlassian, la empresa australiana de software, ha emitido una advertencia a los administradores de Confluence para que parcheen de inmediato las instancias expuestas a Internet debido a una vulnerabilidad crítica.
Esta vulnerabilidad, rastreada como CVE-2023-22518, se clasifica como una falla de autorización inadecuada y afecta a todas las versiones de Confluence Data Center y Confluence Server. Aunque no afecta la confidencialidad de los datos, podría provocar la pérdida de datos si es explotada con éxito.
Atlassian ha solucionado esta vulnerabilidad en ciertas versiones de Confluence y ha instado a los administradores a actualizar o aplicar medidas de mitigación, como la copia de seguridad de instancias sin parches y el bloqueo del acceso a Internet hasta que se actualicen.
La vulnerabilidad ha sido objeto de ataques activos y se ha utilizado como día cero por el grupo de amenazas Storm-0062, respaldado por China. Parchear los servidores Confluence es esencial, ya que previamente se han convertido en objetivos para ataques de malware, incluyendo botnets de Linux, criptomineros y ransomware como AvosLocker y Cerber2021.
Ataque activo a dispositivos BIG-IP: F5 advierte sobre la explotación de dos vulnerabilidades recientes
F5 ha alertado a los administradores de dispositivos BIG-IP sobre la explotación activa de dos vulnerabilidades recientemente descubiertas: CVE-2023-46747 y CVE-2023-46748.
Estas vulnerabilidades permiten la ejecución de código arbitrario y la inyección SQL, respectivamente.
F5 insta a los administradores a aplicar las actualizaciones de seguridad disponibles y proporciona un script para mitigar la vulnerabilidad CVE-2023-46747.
CISA ha incluido estas vulnerabilidades en su catálogo KEV y ha instado a las agencias del gobierno federal a aplicar las actualizaciones antes del 21 de noviembre.
Los actores de amenazas están explotando ambas vulnerabilidades en combinación, por lo que es esencial aplicar las mitigaciones para proteger los dispositivos BIG-IP.
F5 advierte que los atacantes pueden borrar sus huellas, por lo que se debe considerar que los dispositivos no parcheados están comprometidos y se recomienda una fase de limpieza y restauración en estos casos.
Servidores expuestos a Internet en riesgo por la vulnerabilidad CVE-2023-46604 en Apache ActiveMQ
Más de 3.000 servidores Apache ActiveMQ expuestos a Internet se consideran vulnerables a la reciente vulnerabilidad crítica de ejecución remota de código (CVE-2023-46604).
Apache ActiveMQ es un intermediario de mensajes de código abierto utilizado en entornos empresariales para facilitar la comunicación entre sistemas.
La vulnerabilidad CVE-2023-46604 tiene una gravedad crítica (puntuación CVSS v3: 10.0) y permite a los atacantes ejecutar comandos de shell arbitrarios explotando tipos de clases serializadas en el protocolo OpenWire.
Las versiones afectadas se detallan, y se han lanzado correcciones recomendadas en las versiones 5.15.16, 5.16.7, 5.17.6 y 5.18.3. Se han identificado miles de servidores vulnerables, y su explotación podría resultar en la interceptación de mensajes, la interrupción del flujo de trabajo, el robo de datos y el movimiento lateral en la red.
La aplicación de las actualizaciones de seguridad se considera urgente debido a la disponibilidad pública de detalles técnicos de la explotación.
Vulnerabilidad 'Citrix Bleed' CVE-2023-4966: Actores de amenazas atacan organizaciones de todo el mundo
Los actores de amenazas han estado aprovechando la vulnerabilidad conocida como 'Citrix Bleed' (CVE-2023-4966) para atacar a organizaciones gubernamentales, técnicas y legales en diversas regiones del mundo, desde finales de agosto de 2023.
Esta vulnerabilidad afecta a dispositivos Citrix NetScaler ADC y Gateway, permitiendo el acceso a información confidencial, ya existe un exploit disponible que expone la vulnerabilidad.
La explotación de la vulnerabilidad ha llevado al robo de credenciales y al movimiento lateral en la red. Debido a la falta de registro en los dispositivos, estos ataques son difíciles de detectar y requieren herramientas de monitoreo especializadas.
Los atacantes utilizan una variedad de herramientas comunes en entornos empresariales para realizar reconocimiento de red, robo de credenciales y movimiento lateral.
La aplicación de actualizaciones de seguridad no resuelve los problemas existentes, por lo que se necesita una respuesta completa al incidente. Mandiant ha proporcionado una guía de reparación detallada para abordar estas amenazas.
FIRST lanza CVSS v4.0: La próxima generación del sistema de calificación de vulnerabilidades
El Foro de Equipos de Seguridad y Respuesta a Incidentes (FIRST) ha presentado oficialmente la versión 4.0 del Common Vulnerability Scoring System (CVSS), un estándar ampliamente utilizado para evaluar la gravedad de las vulnerabilidades de seguridad en el software.
CVSS 4.0 introduce mejoras significativas, incluyendo una mayor granularidad en las métricas básicas, eliminación de ambigüedades en las puntuaciones posteriores, simplificación de métricas de amenazas y adición de métricas complementarias para evaluar vulnerabilidades.
Esta versión también mejora la aplicabilidad en entornos de Operaciones de Tecnología (OT), Sistemas de Control Industrial (ICS) e Internet de las Cosas (IoT).
La evolución de CVSS a lo largo de los años ha sido fundamental para la seguridad cibernética y se espera que esta versión proporcione una evaluación más precisa y completa de las vulnerabilidades.
Microsoft Exchange afectado por cuatro vulnerabilidades de día cero reveladas por ZDI
Microsoft Exchange se encuentra en riesgo debido a cuatro vulnerabilidades de día cero que pueden ser explotadas de forma remota, permitiendo a los atacantes ejecutar código malicioso o acceder a información confidencial en sistemas afectados.
Estas vulnerabilidades fueron dadas a conocer por la Iniciativa de Día Cero (ZDI) de Trend Micro y se informaron a Microsoft en septiembre de 2023. A pesar de reconocer los informes, Microsoft decidió no abordar de inmediato estas fallas, lo que llevó a ZDI a publicarlas bajo sus propios identificadores para alertar a los administradores de Exchange sobre los riesgos de seguridad.
Las vulnerabilidades incluyen una falla de ejecución remota de código (RCE) en la clase 'ChainedSerializationBinder' (ZDI-23-1578) y tres vulnerabilidades que resultan de una validación inadecuada de URI (ZDI-23-1579, ZDI-23-1580 y ZDI-23-1581). Si bien estas vulnerabilidades requieren autenticación para ser explotadas, los atacantes tienen múltiples formas de obtener credenciales de Exchange. La más grave de las fallas, ZDI-23-1578, podría permitir un compromiso total del sistema.
ZDI sugiere restringir la interacción con aplicaciones de Exchange y la implementación de la autenticación multifactor para mitigar estos riesgos. Aunque Microsoft ha revisado los informes y considera que las vulnerabilidades no requieren un servicio inmediato, seguirán evaluándose y las abordarán en futuras versiones y actualizaciones del producto.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 06 al 12 de noviembre de 2023:
Objetivos observados durante semana de análisis:
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
https://www.bleepingcomputer.com/ |
https://thehackernews.com/ |
Tipo | Indicador |
---|---|
HelloKitty | - |
hash | 8177455ab89cc96f0c26bc42907... |
hash | 8c226e1f640b570a4a542078a7d... |
hash | C3C0CF25D682E981C7CE1CC0A00... |
hash | 3E65437F910F1F4E93809B81C19... |
Mozi | - |
hash | 83441d77abb6cf328e77e372dc1... |
Socks5Systemz | - |
hash | fee88318e738b160cae22f6c0f1... |
hash | dc262539467bf34e5059686955d... |
Kazuar | - |
hash | 91dc8593ee573f3a07e9356e65e... |
url | hxxps://www.pierreagencemen... |
url | hxxps://sansaispa[.]com/wp-... |
url | hxxps://octoberoctopus[.]co... |
StripedFly | - |
dominio | pool[.]minexmr[.]com |
dominio | mine[.]aeon-pool[.]com |
ip | 5.255.86[.]125 |
ip | 45.9.148[.]21 |
ip | 45.9.148[.]36 |
ip | 45.9.148[.]132 |
BiBi-Linux | - |
hash | 23bae09b5699c2d5c4cb1b8aa90... |
NodeStealer | - |
hash | 2b94a313e55e7332b7bd5fbc74a... |
hash | f267da7be0c3fbfe85b4b0117c4... |
hash | ab5972fad0e7b0ed8dab81b7e6e... |
hash | 720e68f79fed6511621e2c187b2... |
hash | f4216674115ad9168b14e335066... |
hash | 92a6d72a1673e9c159488aad09d... |
hash | 80fd31d97c9dd89c476dbae585c... |