El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
General Electric investiga denuncias de ciberataque y robo de datos
General Electric (GE) está investigando informes sobre un presunto ciberataque en el que un actor de amenazas, llamado IntelBroker, afirmó haber violado el entorno de desarrollo de GE y filtrado datos robados.
IntelBroker inicialmente intentó vender acceso a los canales de desarrollo y software de GE por $500 en un foro de piratería, y luego afirmó estar vendiendo tanto el acceso como los datos, incluyendo información militar relacionada con DARPA. GE está investigando las afirmaciones y tomando medidas para proteger la integridad de sus sistemas. IntelBroker es conocido por ciberataques exitosos en el pasado, incluyendo la violación del servicio de comestibles Weee! y la violación de DC Health Link, que resultó en la exposición de información personal confidencial de miles de personas.
El ciberataque al proveedor de TI CTS afecta a decenas de bufetes de abogados del Reino Unido
El proveedor líder de servicios gestionados (MSP) para bufetes de abogados y organizaciones legales en el Reino Unido, CTS, ha experimentado un ciberataque que ha provocado una interrupción significativa en múltiples bufetes de abogados y transacciones de viviendas.
El ataque ha llevado a la empresa a trabajar con expertos en forense digital para investigar y restaurar los servicios afectados. Aunque no se ha confirmado la naturaleza del ataque, la información sugiere un posible ataque de ransomware. CTS aún no ha informado oficialmente a la Oficina del Comisionado de Información (ICO) sobre la infracción. Se estima que entre 80 y 200 despachos de abogados podrían haberse visto afectados. La interrupción ha generado problemas en las transacciones de propiedades y se espera que continúe hasta que se resuelva el problema.
APT lazarus, está utilizando una falla de día cero magicline4nx en un ataque a la cadena de suministro
Las agencias del Reino Unido y Corea del Sur han emitido una advertencia conjunta sobre el grupo de hackers Lazarus, vinculado a Corea del Norte, que está utilizando una vulnerabilidad de día cero en el software MagicLine4NX para realizar ataques a la cadena de suministro.
MagicLine4NX es un programa de certificación desarrollado por Dream Security que permite a los usuarios iniciar sesión con un certificado conjunto y firmar transacciones digitalmente. Lazarus aprovechó la vulnerabilidad del programa para obtener acceso no autorizado a la intranet de organizaciones objetivo, utilizando un ataque a un abrevadero a través de un sitio web comprometido.
Los actores de amenazas utilizaron la cadena de ataques para infiltrarse en sistemas y robar información. Se estima que entre 80 y 200 despachos de abogados podrían haberse visto afectados en ataques dirigidos principalmente a entidades de Corea del Sur.
Konni APT utiliza documentos de Microsoft Word en ruso para distribuir malware
El grupo Konni APT, vinculado a Corea del Norte, ha sido detectado utilizando documentos de Microsoft Word en ruso como parte de una campaña de phishing en curso. Konni APT emplea el troyano de acceso remoto (RAT) KONNI, que fue identificado por primera vez en 2017 y se ha utilizado en ataques altamente dirigidos.
En la campaña actual, los actores de amenazas utilizan un documento de Word con una macro maliciosa en ruso para engañar a las víctimas y ejecutar comandos en los dispositivos objetivo. La macro inicia un script que, entre otras cosas, evita el Control de Cuentas de Usuario (UAC), despliega un archivo DLL con capacidades de recopilación de información y exfiltración de datos, y se comunica con un servidor de comando y control (C2). Se aconseja a los usuarios tener precaución al abrir documentos sospechosos.
El malware Lumma Stealer ahora utiliza trigonometría para evadir la detección
El malware Lumma, conocido por robar información, ha adoptado una táctica innovadora para eludir la detección de software de seguridad. Utiliza trigonometría para medir los movimientos del mouse y determinar si está siendo ejecutado en una máquina real o en un entorno antivirus limitado.
Este malware, que es ofrecido a ciberdelincuentes por suscripciones que oscilan entre 250 y 1,000 dólares, permite el robo de datos de navegadores y aplicaciones en sistemas Windows 7-11. La versión 4.0 de Lumma presenta actualizaciones significativas, incluida la detección de comportamiento humano mediante trigonometría. Si los ángulos calculados están por debajo de 45 grados, el malware continúa su ejecución; de lo contrario, detiene sus actividades maliciosas y monitorea hasta detectar un comportamiento humano.
Además, Lumma ahora requiere cifrado para protegerse contra filtraciones y utiliza obstáculos en su código como última defensa contra análisis, mostrando un énfasis considerable en evadir detección y complicar cualquier intento de comprender sus mecanismos.
El malware Kinsing aprovecha la ejecución remota de código (RCE) en Apache ActiveMQ para instalar rootkits.
El operador del malware Kinsing está aprovechando activamente la vulnerabilidad crítica CVE-2023-46604 en Apache ActiveMQ, un broker de mensajes de código abierto, para comprometer sistemas Linux. Esta falla permite la ejecución remota de código y fue corregida a finales de octubre. A pesar de la disponibilidad del parche, miles de servidores seguían expuestos, lo que llevó a grupos de ransomware como HelloKitty y TellYouThePass a aprovechar la oportunidad.
Kinsing, conocido por dirigirse a sistemas Linux y explotar fallas conocidas, ahora se suma a los actores que explotan CVE-2023-46604 con el objetivo de desplegar mineros de criptomonedas en servidores vulnerables. El malware utiliza el método 'ProcessBuilder' para ejecutar scripts bash maliciosos y descargar cargas adicionales en el dispositivo infectado, proporcionando un alto grado de control y flexibilidad mientras evita la detección. Para mitigar la amenaza, se recomienda a los administradores de sistemas que actualicen Apache ActiveMQ a las versiones 5.15.16, 5.16.7, 5.17.6 o 5.18.3, que abordan la vulnerabilidad de seguridad.
Los malware DarkGate y Pikabot surgen como sucesores de Qakbot
Una avanzada campaña de phishing que propaga las infecciones de malware DarkGate ha incorporado recientemente el malware PikaBot, convirtiéndola en la campaña de phishing más sofisticada desde la desarticulación de la operación Qakbot. Iniciada en septiembre de 2023 después de que el FBI desmantela la infraestructura de QBot (Qakbot), esta campaña utiliza tácticas similares a las anteriores de Qakbot, sugiriendo que los actores de amenazas de Qbot han migrado a nuevos botnets de malware.
Estas campañas representan una amenaza significativa debido a las tácticas avanzadas que permiten que los correos electrónicos de phishing alcancen a los objetivos, así como a las capacidades avanzadas de los malware entregados. Al compartir características con Qbot, DarkGate y PikaBot plantean un riesgo serio para las empresas, ya que se utilizarán para obtener acceso inicial a redes y llevar a cabo posiblemente ataques de ransomware, espionaje y robo de datos.
Los ataques se inician por medio de correos electrónicos maliciosos que, mediante verificaciones, inducen a los usuarios a descargar un archivo ZIP que contiene un dropper de malware. Aunque DarkGate fue utilizado hasta septiembre de 2023, siendo reemplazado por PikaBot en octubre, ambos son cargadores de malware modulares con capacidades avanzadas, y PikaBot incorpora mecanismos extensos de anti-debugging, anti-VM y anti-emulación. Dada la sofisticación de estas campañas dirigidas por actores de amenazas expertos, se advierte a las organizaciones que se familiaricen con las tácticas, técnicas y procedimientos de esta campaña.
Gamaredon y LitterDrifter: el malware ruso que se contagia por USB con presencia en Chile
Gamaredon, un grupo de hackers rusos, ha desarrollado un malware llamado LitterDrifter, que se propaga a través de dispositivos USB y ha llegado a varios países, incluido Chile. Este malware, escrito en Visual Basic Scripting, inicialmente se creó para afectar los sistemas informáticos de Ucrania, especialmente aquellos que dependen de medios físicos de almacenamiento como memorias USB. Sin embargo, según un informe de Check Point, LitterDrifter se ha detectado en Estados Unidos, Vietnam, Chile, Polonia, Alemania y Hong Kong. Aunque el número total de dispositivos infectados no se conoce, la propagación del malware sigue un patrón similar al del gusano Stuxnet, creado por Estados Unidos e Israel, que originalmente tenía un propósito específico pero terminó afectando a un gran número de equipos.
Citrix advierte a los administradores que eliminen las sesiones de los usuarios de NetScaler
Citrix insta a los administradores a tomar medidas adicionales después de aplicar parches contra la vulnerabilidad CVE-2023-4966, también conocida como 'Citrix Bleed', para proteger los dispositivos NetScaler. Además de aplicar las actualizaciones de seguridad, se aconseja borrar todas las sesiones de usuario anteriores y finalizar las activas, ya que los atacantes han estado robando tokens de autenticación, permitiéndoles acceder a dispositivos comprometidos incluso después de aplicar el parche.
Aunque Citrix soluciona la falla en octubre del año en curso, Mandiant reveló que ha estado siendo explotada como día cero desde finales de agosto de 2023. La advertencia también destaca que las sesiones comprometidas persisten después de aplicar el parche, permitiendo a los atacantes moverse lateralmente en la red. Las agencias de seguridad, incluyendo CISA y el FBI, advierten que la banda de ransomware LockBit está explotando activamente la vulnerabilidad, y Boeing informó que sufrió una violación de seguridad utilizando un exploit Citrix Bleed en octubre.
CISA ordena a las agencias federales que corrijan el error de Looney Tunables en Linux
La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) ha instado a las agencias federales a proteger sus sistemas contra la vulnerabilidad CVE-2023-4911, apodada 'Looney Tunables', que está siendo activamente explotada y permite a los atacantes obtener privilegios de root en varias distribuciones de Linux, incluyendo Fedora, Ubuntu y Debian. La debilidad en el cargador dinámico ld.so de la biblioteca GNU C ha sido explotada en ataques de malware Kinsing, utilizados para comprometer sistemas en entornos de nube.
CISA ha incluido la falla en su Catálogo de vulnerabilidades explotadas conocidas y ha establecido una fecha límite del 12 de diciembre para que las agencias federales parchen los dispositivos Linux en sus redes. Se recomienda a todas las organizaciones, incluidas las empresas privadas, que prioricen la reparación de esta vulnerabilidad crítica.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 27 de noviembre al 3 de diciembre de 2023:
Objetivos observados durante semana de análisis:
DEFCON 1
DEFCON 2
DEFCON 3
DEFCON 4
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: