ENTEL Weekly Threat Intelligence Brief del 04 al 10 de diciembre de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Microsoft alerta sobre ola de ataques ransomware CACTUS, DanaBot como vector principal  
• Ciberataque a Austal USA, Hunters International, amenaza con revelar datos sensibles de contratos militares  
• ALPHV/BlackCat en el punto de mira, servidores fuera de servicio tras presunta intervención policial  
• Forest Blizzard, ataca con éxito a organizaciones de la OTAN utilizando vulnerabilidad en Outlook  
• Kimsuky apunta a institutos de investigación surcoreanos con campaña de phishing  
• Callisto Group de la estatal rusa, realiza ciberespionaje mediante ataques de phishing global  
• AeroBlade, un nuevo actor de amenazas afectó a la organización aeroespacial en EE.UU.  
• Nuevo malware Linux apunta a redes de telecomunicaciones con técnicas avanzadas de ocultamiento  
• Malware Trojan-Proxy afecta a usuarios de macOS a través de descargas no autorizadas 
• Vulnerabilidad en AWS STS,  actores de amenazas podrían infiltrarse en cuentas de la nube  
• Falla crítica en Bluetooth permite a atacantes tomar control de dispositivos móviles y computadoras  
• WordPress lanza parche de emergencia en la versión 6.4.2 para abordar vulnerabilidad crítica 
• SLAM: vulnerabilidad de Spectre podría filtrar información del kernel en CPUs actuales y futuras  
• Amenazas a infraestructuras críticas: descubiertas 21 fallas de seguridad en enrutadores Sierra OT/IoT  

Microsoft alerta sobre ola de ataques ransomware CACTUS, DanaBot como vector principal  

Microsoft ha emitido una alerta de seguridad, sobre una reciente ola de ataques del grupo de ransomware CACTUS, que estría utilizando señuelos de publicidad maliciosa para implementar DanaBot como su vector de acceso inicial. DanaBot, identificado por Microsoft como Storm-1044, es una herramienta multifuncional comparable a Emotet, TrickBot, QakBot e IcedID, capaz de operar como un ladrón y punto de entrada para cargas útiles de etapas posteriores.

El modus operandi incluye la transmisión de credenciales recopiladas por el malware a un servidor controlado por el actor de amenazas, seguido por un movimiento lateral mediante intentos de inicio de sesión RDP. Este proceso, finalmente, otorga acceso a Storm-0216. La revelación de Microsoft coincide con informes recientes de Arctic Wolf sobre ataques de ransomware CACTUS que explotan vulnerabilidades críticas en la plataforma de análisis de datos Qlik Sense para acceder a redes corporativas. La situación destaca la importancia de la seguridad cibernética y la necesidad de proteger las infraestructuras contra amenazas cada vez más sofisticadas.

Ciberataque a Austal USA, Hunters International, amenaza con revelar datos sensibles de contratos militares  

La empresa de construcción naval y contratista del Departamento de Defensa (DoD) y del Departamento de Seguridad Nacional (DHS) de Estados Unidos, Austal USA, ha confirmado ser víctima de un ciberataque, el cual está siendo investigado para determinar su impacto. Austal USA, subsidiaria de la compañía con sede en Australia, se especializa en la construcción de embarcaciones de aluminio de alto rendimiento, y tiene contratos significativos con la Armada de los EE.UU. y la Guardia Costera del mismo país.

El grupo de extorsión de datos y ransomware Hunters International ha reclamado la responsabilidad del ataque, afirmando haber violado la seguridad de Austal USA y filtrado información como prueba. Austal USA, en respuesta, ha informado que el incidente fue mitigado rápidamente y que no tuvo impacto en sus operaciones. Las autoridades reguladoras, incluyendo el FBI y el NCIS, han sido notificadas y participan en la investigación.

Hunters International, identificado como una operación de ransomware como servicio (RaaS), se ha asociado anteriormente con la banda de ransomware Hive. Aunque niegan ser la misma entidad, admiten haber adquirido el código fuente del cifrado de Hive. Su enfoque principal es el robo de datos para utilizarlos como método en extorsiones, y no el cifrado de información. El sitio de filtración de datos de Hunters International lista a más de una docena de víctimas en diversos sectores y regiones del mundo.

ALPHV/BlackCat en el punto de mira, servidores fuera de servicio tras presunta intervención policial  

Los sitios web de la banda de ransomware ALPHV (también conocida como BlackCat) han estado inactivos durante los últimos 3 días, y se rumorea que una operación policial podría ser la responsable de esta interrupción. BleepingComputer ha confirmado que las URL de negociación de Tor compartidas con las víctimas también están fuera de servicio, indicando un colapso en la infraestructura pública de la banda y la suspensión de las negociaciones en curso.

Aunque el administrador de ALPHV mencionó que los sitios podrían volver en línea pronto, han pasado un par de días desde esa declaración y los sitios aún permanecen inactivos.

RedSense Intel, una empresa de ciberseguridad, confirmó que los servidores de ALPHV fueron cerrados debido a una acción policial. Aunque BleepingComputer no pudo confirmar independientemente la intervención del FBI, se señala que operaciones policiales anteriores han resultado en interrupciones similares. La banda ALPHV/BlackCat ha experimentado cambios de marca previos, siendo vinculada inicialmente a DarkSide en 2020, y después de enfrentar presiones tras el ataque a Colonial Pipeline, se transformó en BlackMatter y luego en ALPHV.

Forest Blizzard, ataca con éxito a organizaciones de la OTAN utilizando vulnerabilidad en Outlook

Microsoft ha detectado actividad de un actor de amenazas respaldado por el Kremlin, denominado Forest Blizzard (anteriormente Strontium o APT28), que ha estado explotando una vulnerabilidad crítica en el servicio de correo electrónico Outlook. La vulnerabilidad, CVE-2023-23397, fue parcheada por Microsoft en marzo de 2023 y permite la escalada de privilegios, facilitando el acceso no autorizado a cuentas de correo electrónico.

El objetivo principal de estas intrusiones, según el Comando Cibernético Polaco (DKWOC), es obtener acceso no autorizado a buzones de correo de entidades públicas y privadas en Polonia. La actividad maliciosa implica la modificación de permisos de carpetas dentro de los buzones de las víctimas, lo que permite el acceso no autorizado incluso después de perder el acceso directo.

Forest Blizzard, vinculado a la Unidad 26165 de la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU), ha sido relacionado previamente con ataques en Europa y está utilizando tácticas avanzadas para mantenerse oculto.

La vulnerabilidad de Outlook ha sido utilizada como arma en ataques dirigidos en diversos sectores, incluyendo gubernamental, transporte, energético y militar en Europa desde abril de 2022. Además, APT28 también ha orquestado campañas de phishing que explotan vulnerabilidades en Roundcube, un software de correo web de código abierto.

La popularidad de Microsoft Outlook en entornos empresariales lo convierte en un vector de ataque lucrativo, siendo una de las principales puertas de entrada para diversas amenazas cibernéticas. Las actividades de Forest Blizzard indican un cambio hacia tácticas más livianas y orientadas a credenciales.

Kimsuky apunta a institutos de investigación surcoreanos con campaña de phishing  

El actor de amenazas norcoreano Kimsuky ha sido identificado apuntando a institutos de investigación en Corea del Sur mediante una campaña de phishing. La táctica involucra un señuelo de declaración de importación que contiene un archivo JSE malicioso, un script de PowerShell ofuscado y un documento PDF señuelo. Al abrir el PDF, el script de PowerShell ejecuta una puerta trasera en segundo plano, permitiendo a Kimsuky robar información y ejecutar comandos en los sistemas comprometidos.

Kimsuky, activo desde al menos 2012, ha ampliado sus objetivos desde entidades gubernamentales y expertos en Corea del Sur hasta incluir a Europa, Rusia y Estados Unidos. Recientemente sancionado por el Departamento del Tesoro de EE.UU., se ha centrado en recopilar inteligencia relacionada con política exterior, seguridad nacional y cuestiones nucleares.

El grupo utiliza URL´s falsas y archivos ZIP infectados, disfrazados como actualizaciones de Chrome, para implementar VBScript maliciosos desde Google Drive, utilizando el almacenamiento en la nube para la exfiltración de datos y el control de comando.

Callisto Group de la estatal rusa, realiza ciberespionaje mediante ataques de phishing global  

El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) y Microsoft han alertado sobre la actividad del actor respaldado por el estado ruso "Callisto Group". Este grupo, vinculado a la división rusa 'Centro 18' del Servicio Federal de Seguridad (FSB), ha estado activo desde 2015 y se enfoca en campañas de phishing para robar credenciales y datos de cuentas.

Las tácticas de Callisto incluyen ataques de phishing altamente dirigidos, obteniendo información de plataformas de redes sociales y estableciendo relaciones antes de enviar enlaces maliciosos. Utilizan sitios de phishing alojados en dominios ilegítimos, dirigidos a servicios de correo electrónico como Microsoft y Yahoo. Callisto ha evolucionado sus técnicas, utilizando scripts del lado del servidor, servicios de plataformas de marketing por correo electrónico y generación de dominios para evadir detección.

La defensa contra Callisto requiere un enfoque multifacético, incluido el uso de métodos de autenticación multifactor (MFA) resistentes al phishing y políticas de acceso condicional. El Reino Unido y Estados Unidos han sancionado a dos miembros de Callisto, identificados como Aleksandrovich Peretuatko y Andrey Stanislavovich Korinets, responsables de ejecutar operaciones cibernéticas dirigidas al Reino Unido. Actualemnte Se ofrece una recompensa por información valiosas, sobre los miembros de Callisto. Este anuncio subraya la preocupación internacional por la interferencia cibernética en procesos democráticos y la adopción de medidas enérgicas contra actores estatales maliciosos.

AeroBlade, un nuevo actor de amenazas afectó a la organización aeroespacial en EE.UU.   

Un actor de amenazas recién identificado, denominado AeroBlade, ha sido vinculado a un ciberataque dirigido contra una organización aeroespacial en los Estados Unidos. El equipo de Inteligencia y Investigación de Amenazas de BlackBerry rastrea a este grupo, aunque su origen es desconocido. El ataque, sospechoso de ser una operación de ciberespionaje, empleó phishing como mecanismo de entrega. Utilizó un documento de Microsoft Word adjunto que, al abrirse, implementaba una técnica de inyección remota de plantillas y un código macro VBA malicioso para entregar la carga útil final.

La infraestructura de red del ataque se activó en septiembre de 2022, y la fase ofensiva ocurrió aproximadamente un año después en julio de 2023. Durante este período, el actor tomó medidas para mejorar y hacer más sigilosas sus herramientas. La cadena de ataque incluyó una biblioteca de enlaces dinámicos (DLL) que actuaba como un shell inverso, conectándose a un servidor de comando y control (C2) codificado. Este shell inverso permitía a los atacantes abrir puertos en las máquinas objetivo, facilitando la comunicación y la toma completa del dispositivo.

Las capacidades de recopilación de información del malware incluyen la enumeración de directorios en el host infectado, lo que sugiere un esfuerzo de reconocimiento para identificar datos valiosos. La DLL, altamente ofuscada y equipada con técnicas antianálisis, utiliza la persistencia mediante un programador de tareas, creando una tarea llamada "WinUpdate2" para ejecutarse diariamente. Este ataque representa una seria amenaza a la seguridad, según los expertos de BlackBerry. La sofisticación del actor y sus esfuerzos para mejorar las capacidades indican un riesgo significativo para la organización aeroespacial afectada.

Nuevo malware Linux apunta a redes de telecomunicaciones con técnicas avanzadas de ocultamiento  

Un nuevo troyano de acceso remoto en Linux, denominado Krasue, ha sido identificado, dirigido principalmente a empresas de telecomunicaciones en Tailandia desde al menos 2021. Este malware, que puede ocultar su presencia durante la fase de inicialización, utiliza un rootkit que se hace pasar por un controlador VMware no firmado para mantener la persistencia en los hosts sin ser detectado. Se desconoce el vector de acceso inicial exacto, pero se sospecha que podría aprovechar vulnerabilidades o ser descargado como parte de paquetes de software falsos. Krasue comparte similitudes de código con otro malware llamado XorDdos, sugiriendo un posible desarrollo por el mismo autor o actores con acceso a su código fuente. Aunque se ha confirmado un caso y se investigan otros tres, la naturaleza sigilosa del malware destaca la necesidad de una vigilancia continua y mejores medidas de seguridad para combatir estas amenazas.

Malware Trojan-Proxy afecta a usuarios de macOS a través de descargas no autorizadas

Un nuevo malware denominado Trojan-Proxy ha sido identificado por Kaspersky en sitios web no autorizados que distribuyen versiones troyanizadas de software de descifrado. Este malware afecta a usuarios de macOS que buscan software ilegitimo, propagándose a través de herramientas multimedia y de productividad. Utilizando instaladores .PKG, el malware se instala con permisos de administrador, activando un script malicioso. El Trojan-Proxy se disfraza como el proceso WindowServer en macOS, evadiendo la detección y estableciendo comunicación con un servidor de comando y control a través de DNS sobre HTTPS para recibir instrucciones. Este tipo de amenaza permite a los atacantes construir redes de servidores proxy para realizar acciones delictivas en nombre de las víctimas, como lanzar ataques y realizar transacciones ilegales. Se destaca la importancia de evitar descargar software de fuentes no confiables para mitigar este riesgo.

Vulnerabilidad en AWS STS,  actores de amenazas podrían infiltrarse en cuentas de la nube 

El servicio de token de seguridad de Amazon Web Services (AWS STS) puede ser explotado por actores de amenazas para infiltrarse en cuentas de la nube y llevar a cabo ataques de seguimiento, según investigadores de Red Canary. AWS STS permite a los actores maliciosos hacerse pasar por identidades y roles de usuarios en entornos de nube al solicitar credenciales temporales con privilegios limitados. Estos tokens pueden ser robados mediante diversas tácticas, como malware, credenciales expuestas y phishing. Los atacantes pueden utilizar estos tokens para determinar roles y privilegios, creando usuarios adicionales para garantizar la persistencia. Se recomienda mitigar este abuso registrando datos de eventos de CloudTrail, detectando el encadenamiento de roles y rotando las claves de acceso de usuarios de IAM a largo plazo. Los investigadores destacan la importancia de AWS STS como un control crítico de seguridad, pero señalan que ciertas configuraciones de IAM pueden permitir abusos.

Falla crítica en Bluetooth permite a atacantes tomar control de dispositivos móviles y computadoras  

Una falla crítica de seguridad en Bluetooth, registrada como CVE-2023-45866, permite a actores de amenazas tomar el control de dispositivos Android, Linux, macOS e iOS. La vulnerabilidad, relacionada con una omisión de autenticación, facilita la conexión no autorizada a dispositivos vulnerables y la inyección de pulsaciones de teclas para lograr la ejecución de código. El ataque engaña al dispositivo objetivo haciéndole creer que está conectado a un teclado Bluetooth mediante un "mecanismo de emparejamiento no autenticado". Es notable que el ataque no requiere hardware especializado y puede llevarse a cabo desde una computadora Linux con un adaptador Bluetooth común. La vulnerabilidad afecta a una amplia gama de dispositivos, incluidos Android (desde la versión 4.2.2), iOS, Linux y macOS. La explotación exitosa de la falla podría permitir la instalación de aplicaciones y la ejecución de comandos arbitrarios por parte de un adversario físicamente cercano. Google ha advertido que la vulnerabilidad podría conducir a una escalada remota de privilegios sin necesidad de privilegios de ejecución adicionales.

WordPress lanza parche de emergencia en la versión 6.4.2 para abordar vulnerabilidad crítica  

WordPress lanzó la versión 6.4.2 con un parche para abordar una vulnerabilidad crítica que, aunque no puede ser explotada directamente en el núcleo, presenta un alto potencial de gravedad cuando se combina con ciertos complementos, especialmente en instalaciones multisitio. La vulnerabilidad, relacionada con la clase WP_HTML_Token introducida en la versión 6.4 para mejorar el análisis de HTML en el editor de bloques, permite la ejecución remota de código. Actores de amenazas con capacidad para explotar una vulnerabilidad de inyección de objetos PHP en otros complementos o temas podrían encadenar ambas fallas para ejecutar código arbitrario y tomar el control del sitio objetivo. La cadena de explotación estuvo disponible en GitHub a partir del 17 de noviembre, y se recomienda a los usuarios que actualicen a la última versión y revisen manualmente sus sitios. Además, se aconseja a los desarrolladores evitar la función unserialize y optar por métodos más seguros, como la codificación/decodificación JSON. 

SLAM: vulnerabilidad de Spectre podría filtrar información del kernel en CPUs actuales y futuras 

Investigadores de la Vrije Universiteit Amsterdam han identificado un nuevo ataque de canal lateral llamado SLAM, que afecta a las CPU actuales y futuras de Intel, AMD y Arm. Este exploit, basado en la característica Linear Address Masking (LAM) en CPUs Intel (y sus equivalentes UAI en AMD y TBI en Arm), permite filtrar información del kernel. SLAM es un exploit de Spectre de extremo a extremo, explotando dispositivos desenmascarados y ampliando la superficie de ataque de Spectre. Este ataque de ejecución transitoria aprovecha la ejecución especulativa para extraer datos a través de un canal encubierto de caché. Afecta a CPU actuales de AMD y futuras de Intel, AMD y Arm. Los sistemas Arm ya mitigan Spectre v2 y BHB, y AMD señala mitigaciones actuales de Spectre v2. Intel planea ofrecer orientación sobre software para futuros procesadores compatibles con LAM. Linux ha desarrollado parches para desactivar LAM, y los investigadores previamente presentaron Quarantine como un enfoque exclusivo de software para mitigar ataques de ejecución transitoria.

Amenazas a infraestructuras críticas: descubiertas 21 fallas de seguridad en enrutadores Sierra OT/IoT 

Un grupo de 21 vulnerabilidades ha sido descubierto en enrutadores Sierra OT/IoT, incluyendo los populares enrutadores celulares Sierra Wireless AirLink, según revelaciones de Forescout Vedere Labs. Las vulnerabilidades, que varían en gravedad, abren la puerta a amenazas como ejecución remota de código, acceso no autorizado y denegación de servicio. Destacan problemas críticos como CVE-2023-41101 y CVE-2023-38316 en OpenNDS, que podrían permitir la ejecución remota de código. Los enrutadores afectados se utilizan en una variedad de escenarios críticos, desde sistemas gubernamentales hasta servicios de emergencia, energía, transporte y atención médica. Forescout ha instado a los administradores a actualizar a ALEOS versión 4.17.0 para abordar las vulnerabilidades.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 11 al 17 de diciembre de 2023:

Objetivos observados durante semana de análisis: 

• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Entretenimiento, cultura y arte
• Infraestructura tecnológica
• Construcción e inmobiliaria
• Banca y Finanzas
• Defensa y orden público
• Servicios empresariales y comercio
• Transportes y servicios automotrices.
• Infraestructura tecnológica - Componentes
• Educación
• Servicios de salud, sociales y farmacia
• Shipment y cadena de suministros
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumoGobierno
• Infraestructura tecnológica
• Petróleo
• Energía
• Banca y Finanzas
• Seguros
• Retail y servicios de consumo
• Tecnología

• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Banca y Finanzas
• Servicios empresariales y comercio
• Infraestructura tecnológica - Componentes
• Educación
• Servicios de salud, sociales y farmacia

• Retail y servicios de consumo
• Servicios legales y profesionales
• Transportes y servicios automotrices

• Construcción e inmobiliaria
• Shipment y cadena de suministros
• Gobierno
• Petróleo
• Servicios básicos y sanitarios
• Turismo, hoteles y restaurantes

• Entretenimiento, cultura y arte
• Defensa y orden público
• Agricultura, ganadería, silvicultura y pesca - producción

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.