ENTEL Weekly Threat Intelligence Brief del 20 al 26 de noviembre de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• El malware Lumma Stealer ahora utiliza trigonometría para evadir la detección.
• El malware Kinsing aprovecha la ejecución remota de código (RCE) en Apache ActiveMQ para instalar rootkits.
• Los malware DarkGate y Pikabot surgen como sucesores de Qakbot.
• Citrix advierte a los administradores que eliminen las sesiones de los usuarios de NetScaler.
• CISA ordena a las agencias federales que corrijan el error de Looney Tunables en Linux.
• General Electric investiga denuncias de ciberataque y robo de datos.
• El ciberataque al proveedor de TI CTS afecta a decenas de bufetes de abogados del Reino Unido.
• APT lazarus, está utilizando una falla de día cero magicline4nx en un ataque a la cadena de suministro.
• Konni APT utiliza documentos de Microsoft Word en ruso para distribuir malware.
• Gamaredon y LitterDrifter: el malware ruso que se contagia por USB con presencia en Chile.

General Electric investiga denuncias de ciberataque y robo de datos

General Electric (GE) está investigando informes sobre un presunto ciberataque en el que un actor de amenazas, llamado IntelBroker, afirmó haber violado el entorno de desarrollo de GE y filtrado datos robados. 

IntelBroker inicialmente intentó vender acceso a los canales de desarrollo y software de GE por $500 en un foro de piratería, y luego afirmó estar vendiendo tanto el acceso como los datos, incluyendo información militar relacionada con DARPA. GE está investigando las afirmaciones y tomando medidas para proteger la integridad de sus sistemas. IntelBroker es conocido por ciberataques exitosos en el pasado, incluyendo la violación del servicio de comestibles Weee! y la violación de DC Health Link, que resultó en la exposición de información personal confidencial de miles de personas.

El ciberataque al proveedor de TI CTS afecta a decenas de bufetes de abogados del Reino Unido

El proveedor líder de servicios gestionados (MSP) para bufetes de abogados y organizaciones legales en el Reino Unido, CTS, ha experimentado un ciberataque que ha provocado una interrupción significativa en múltiples bufetes de abogados y transacciones de viviendas. 

El ataque ha llevado a la empresa a trabajar con expertos en forense digital para investigar y restaurar los servicios afectados. Aunque no se ha confirmado la naturaleza del ataque, la información sugiere un posible ataque de ransomware. CTS aún no ha informado oficialmente a la Oficina del Comisionado de Información (ICO) sobre la infracción. Se estima que entre 80 y 200 despachos de abogados podrían haberse visto afectados. La interrupción ha generado problemas en las transacciones de propiedades y se espera que continúe hasta que se resuelva el problema.

APT lazarus, está utilizando una falla de día cero magicline4nx en un ataque a la cadena de suministro

Las agencias del Reino Unido y Corea del Sur han emitido una advertencia conjunta sobre el grupo de hackers Lazarus, vinculado a Corea del Norte, que está utilizando una vulnerabilidad de día cero en el software MagicLine4NX para realizar ataques a la cadena de suministro. 

MagicLine4NX es un programa de certificación desarrollado por Dream Security que permite a los usuarios iniciar sesión con un certificado conjunto y firmar transacciones digitalmente. Lazarus aprovechó la vulnerabilidad del programa para obtener acceso no autorizado a la intranet de organizaciones objetivo, utilizando un ataque a un abrevadero a través de un sitio web comprometido. 

Los actores de amenazas utilizaron la cadena de ataques para infiltrarse en sistemas y robar información. Se estima que entre 80 y 200 despachos de abogados podrían haberse visto afectados en ataques dirigidos principalmente a entidades de Corea del Sur.

Konni APT utiliza documentos de Microsoft Word en ruso para distribuir malware

El grupo Konni APT, vinculado a Corea del Norte, ha sido detectado utilizando documentos de Microsoft Word en ruso como parte de una campaña de phishing en curso. Konni APT emplea el troyano de acceso remoto (RAT) KONNI, que fue identificado por primera vez en 2017 y se ha utilizado en ataques altamente dirigidos. 

En la campaña actual, los actores de amenazas utilizan un documento de Word con una macro maliciosa en ruso para engañar a las víctimas y ejecutar comandos en los dispositivos objetivo. La macro inicia un script que, entre otras cosas, evita el Control de Cuentas de Usuario (UAC), despliega un archivo DLL con capacidades de recopilación de información y exfiltración de datos, y se comunica con un servidor de comando y control (C2). Se aconseja a los usuarios tener precaución al abrir documentos sospechosos.

El malware Lumma Stealer ahora utiliza trigonometría para evadir la detección

El malware Lumma, conocido por robar información, ha adoptado una táctica innovadora para eludir la detección de software de seguridad. Utiliza trigonometría para medir los movimientos del mouse y determinar si está siendo ejecutado en una máquina real o en un entorno antivirus limitado. 

Este malware, que es ofrecido a ciberdelincuentes por suscripciones que oscilan entre 250 y 1,000 dólares, permite el robo de datos de navegadores y aplicaciones en sistemas Windows 7-11. La versión 4.0 de Lumma presenta actualizaciones significativas, incluida la detección de comportamiento humano mediante trigonometría. Si los ángulos calculados están por debajo de 45 grados, el malware continúa su ejecución; de lo contrario, detiene sus actividades maliciosas y monitorea hasta detectar un comportamiento humano. 

Además, Lumma ahora requiere cifrado para protegerse contra filtraciones y utiliza obstáculos en su código como última defensa contra análisis, mostrando un énfasis considerable en evadir detección y complicar cualquier intento de comprender sus mecanismos.

El malware Kinsing aprovecha la ejecución remota de código (RCE) en Apache ActiveMQ para instalar rootkits.

El operador del malware Kinsing está aprovechando activamente la vulnerabilidad crítica CVE-2023-46604 en Apache ActiveMQ, un broker de mensajes de código abierto, para comprometer sistemas Linux. Esta falla permite la ejecución remota de código y fue corregida a finales de octubre. A pesar de la disponibilidad del parche, miles de servidores seguían expuestos, lo que llevó a grupos de ransomware como HelloKitty y TellYouThePass a aprovechar la oportunidad. 

Kinsing, conocido por dirigirse a sistemas Linux y explotar fallas conocidas, ahora se suma a los actores que explotan CVE-2023-46604 con el objetivo de desplegar mineros de criptomonedas en servidores vulnerables. El malware utiliza el método 'ProcessBuilder' para ejecutar scripts bash maliciosos y descargar cargas adicionales en el dispositivo infectado, proporcionando un alto grado de control y flexibilidad mientras evita la detección. Para mitigar la amenaza, se recomienda a los administradores de sistemas que actualicen Apache ActiveMQ a las versiones 5.15.16, 5.16.7, 5.17.6 o 5.18.3, que abordan la vulnerabilidad de seguridad.

Los malware DarkGate y Pikabot surgen como sucesores de Qakbot

Una avanzada campaña de phishing que propaga las infecciones de malware DarkGate ha incorporado recientemente el malware PikaBot, convirtiéndola en la campaña de phishing más sofisticada desde la desarticulación de la operación Qakbot. Iniciada en septiembre de 2023 después de que el FBI desmantela la infraestructura de QBot (Qakbot), esta campaña utiliza tácticas similares a las anteriores de Qakbot, sugiriendo que los actores de amenazas de Qbot han migrado a nuevos botnets de malware. 

Estas campañas representan una amenaza significativa debido a las tácticas avanzadas que permiten que los correos electrónicos de phishing alcancen a los objetivos, así como a las capacidades avanzadas de los malware entregados. Al compartir características con Qbot, DarkGate y PikaBot plantean un riesgo serio para las empresas, ya que se utilizarán para obtener acceso inicial a redes y llevar a cabo posiblemente ataques de ransomware, espionaje y robo de datos. 

Los ataques se inician por medio de correos electrónicos maliciosos que, mediante verificaciones, inducen a los usuarios a descargar un archivo ZIP que contiene un dropper de malware. Aunque DarkGate fue utilizado hasta septiembre de 2023, siendo reemplazado por PikaBot en octubre, ambos son cargadores de malware modulares con capacidades avanzadas, y PikaBot incorpora mecanismos extensos de anti-debugging, anti-VM y anti-emulación. Dada la sofisticación de estas campañas dirigidas por actores de amenazas expertos, se advierte a las organizaciones que se familiaricen con las tácticas, técnicas y procedimientos de esta campaña.

Gamaredon y LitterDrifter: el malware ruso que se contagia por USB con presencia en Chile

Gamaredon, un grupo de hackers rusos, ha desarrollado un malware llamado LitterDrifter, que se propaga a través de dispositivos USB y ha llegado a varios países, incluido Chile. Este malware, escrito en Visual Basic Scripting, inicialmente se creó para afectar los sistemas informáticos de Ucrania, especialmente aquellos que dependen de medios físicos de almacenamiento como memorias USB. Sin embargo, según un informe de Check Point, LitterDrifter se ha detectado en Estados Unidos, Vietnam, Chile, Polonia, Alemania y Hong Kong. Aunque el número total de dispositivos infectados no se conoce, la propagación del malware sigue un patrón similar al del gusano Stuxnet, creado por Estados Unidos e Israel, que originalmente tenía un propósito específico pero terminó afectando a un gran número de equipos.

Citrix advierte a los administradores que eliminen las sesiones de los usuarios de NetScaler 

Citrix insta a los administradores a tomar medidas adicionales después de aplicar parches contra la vulnerabilidad CVE-2023-4966, también conocida como 'Citrix Bleed', para proteger los dispositivos NetScaler. Además de aplicar las actualizaciones de seguridad, se aconseja borrar todas las sesiones de usuario anteriores y finalizar las activas, ya que los atacantes han estado robando tokens de autenticación, permitiéndoles acceder a dispositivos comprometidos incluso después de aplicar el parche. 

Aunque Citrix soluciona la falla en octubre del año en curso, Mandiant reveló que ha estado siendo explotada como día cero desde finales de agosto de 2023. La advertencia también destaca que las sesiones comprometidas persisten después de aplicar el parche, permitiendo a los atacantes moverse lateralmente en la red. Las agencias de seguridad, incluyendo CISA y el FBI, advierten que la banda de ransomware LockBit está explotando activamente la vulnerabilidad, y Boeing informó que sufrió una violación de seguridad utilizando un exploit Citrix Bleed en octubre.

CISA ordena a las agencias federales que corrijan el error de Looney Tunables en Linux

La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) ha instado a las agencias federales a proteger sus sistemas contra la vulnerabilidad CVE-2023-4911, apodada 'Looney Tunables', que está siendo activamente explotada y permite a los atacantes obtener privilegios de root en varias distribuciones de Linux, incluyendo Fedora, Ubuntu y Debian. La debilidad en el cargador dinámico ld.so de la biblioteca GNU C ha sido explotada en ataques de malware Kinsing, utilizados para comprometer sistemas en entornos de nube. 

CISA ha incluido la falla en su Catálogo de vulnerabilidades explotadas conocidas y ha establecido una fecha límite del 12 de diciembre para que las agencias federales parchen los dispositivos Linux en sus redes. Se recomienda a todas las organizaciones, incluidas las empresas privadas, que prioricen la reparación de esta vulnerabilidad crítica.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 27 de noviembre al 3 de diciembre de 2023:

Objetivos observados durante semana de análisis: 

• Servicios de salud, sociales y farmacia
• Servicios legales y profesionales
• Servicios empresariales y comercio
• Retail y servicios de consumo
• Infraestructura tecnológica - Componentes
• Industrias manufactureras, materiales y minería
• Transportes y servicios automotrices.
• Infraestructura tecnológica
• Banca y Finanzas
• Construcción e inmobiliaria
• Organizaciones sin fines de lucro
• Defensa y orden público
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo
• Agricultura, ganadería, silvicultura y pesca - producción
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Petróleo
• Servicios básicos y sanitarios
• Shipment y cadena de suministros

DEFCON 1

• Servicios de salud, sociales y farmacia
• Servicios legales y profesionales
• Servicios empresariales y comercio
• Transportes y servicios automotrices
• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Educación

DEFCON 2

• Banca y Finanzas
• Retail y servicios de consumo

DEFCON 3

• Infraestructura tecnológica - Componentes
• Organizaciones sin fines de lucro
• Agricultura, ganadería, silvicultura y pesca - producción
• Infraestructura tecnológica

DEFCON 4

• Shipment y cadena de suministros
• Defensa y orden público
• Gobierno
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo
• Entretenimiento, cultura y arte
• Petróleo
• Servicios básicos y sanitarios

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.