ENTEL Weekly Threat Intelligence Brief del 11 al 17 de diciembre de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Se identifican campañas de ransomware conjuntas de las bandas BIANLIAN, WHITE RABBIT Y MARIO. 
• Cactus ransomware se adjudica ataque a la empresa de almacenamiento en frío Americold.
• APT Volt Typhoon usa botnet de routers SOHO en el final de su vida útil para sus operaciones 
• Lazarus APT detrás de operación BLACKSMITH
• Grupo APT hacktivista SiegedSec, compromete  centro de investigación nuclear de los estados Unidos
• APT OilRig fue descubierta implementando nuevos downloaders  para sus operaciones de C&C y exfiltración de datos
• Se evidencia nueva variante de malware tipo stealer llamado Rhadamanthys 
• Nueva campaña activa del malware BazarLoader utiliza Google Forms para legitimar sus operaciones de phishing. 
• Vulnerabilidad de QNAP VIOSTOR NVR aprovechada activamente por botnet INFECTEDSLURS 
• Una falla de seguridad de Cloud Site Manager permite acceso a no autorizado a las consolas de los dispositivos de red Ubiquiti de otros usuarios 

Se identifican campañas de ransomware conjuntas de las bandas BIANLIAN, WHITE RABBIT Y MARIO

En un reciente compromiso de Digital Forensics & Incident Response (DFIR), Resecurity, Inc. descubrió una colaboración entre tres grupos de ransomware: BianLian, White Rabbit y Mario, dirigida a empresas financieras cotizadas en bolsa. La colaboración entre estas bandas es inusual pero podría estar relacionada con la participación de Initial Access Brokers  (IAB) en la Dark Web. La importancia de los IAB ha creado un panorama de amenazas más fluido, donde los operadores de ransomware se mueven entre grupos en busca de condiciones financieras óptimas.

La campaña de ataque afectó a una empresa financiera en Singapur, utilizando tácticas de ingeniería social, ataques de password spraying y explotando una VPN obsoleta. La colaboración entre los grupos se evidenció en la filtración de datos a través de RansomHouse y BianLian. Posteriormente, los actores de amenazas publicaron 600 GB de datos en RansomHouse y 500 GB en el sitio de BianLian. Además, de acuerdo a los investigadores se contempla la posibilidad de una "fraternidad de ransomware" multiactor, donde grupos como LockBit consideran colaborar con este tipo de modalidad, después de que fuese desmantelada la infraestructura de de ransomware de ALPHV (BlackCat) y la posterior estafa de salida del grupo de ransomware NoEscape que sustrajeron millones de dólares en pagos de rescate y cerraron tanto los paneles web de la operación como los sitios de filtración de datos. 

Cactus ransomware se adjudica ataque a la empresa de almacenamiento en frío Americold

En abril de 2023, Americold, el gigante del almacenamiento en frío, sufrió un ataque de ransomware que afectó a casi 130,000 personas, según informó la empresa con sede en Atlanta en un informe de violación a reguladores en Maine. Aunque la compañía no denominó explícitamente el incidente como un ataque de ransomware, confirmó que los actores de amenaza comprometieron sus sistemas el 26 de abril, accediendo a información de empleados actuales y anteriores, así como de sus dependientes. La investigación concluyó el 8 de noviembre, revelando la filtración de datos sensibles, como nombres, direcciones, números de Seguro Social, licencias de conducir, pasaportes y datos financieros y médicos relacionados con los empleados. Americold, el mayor fondo de inversión inmobiliaria del mundo en almacenes con temperatura controlada, posee 250 almacenes globalmente. Este no es el primer ataque que enfrenta la empresa, ya que también sufrió un incidente en noviembre de 2020. Además, en julio, apareció en el sitio de filtraciones de la banda de ransomware Cactus, conocida por utilizar malware distribuido a través de anuncios en línea. Cactus ha dirigido ataques a organizaciones industriales, según informes de Microsoft y la firma de respuesta a incidentes Dragos. La banda fue responsable de aproximadamente el 7% de los ataques a entidades industriales rastreados por Dragos en el tercer trimestre de 2023.

APT Volt Typhoon usa botnet de routers SOHO en el final de su vida útil para sus operaciones 

El equipo de Black Lotus Labs de Lumen Technologies, en una investigación identificaron una botnet llamada KV-botnet, diseñada para establecer una red encubierta de transferencia de datos para actores de amenazas persistentes avanzadas (APT) mediante routers de oficina u hogar de la marca (SOHO). La botnet opera desde al menos febrero de 2022 y está dirigida a los dispositivos perimetrales de las redes. KV-botnet consta de dos clústeres lógicos, un proceso de infección complejo y un comando y control (C2) bien oculto.

En la investigación se menciona una superposición entre KV-botnet y Volt Typhoon, un grupo chino de amenazas patrocinadas por el estado que se centra en espionaje. Este grupo busca interrumpir las comunicaciones críticas entre los Estados Unidos y Asia. Además, se identificaron ataques similares contra un proveedor de servicios de Internet, dos empresas de telecomunicaciones y una entidad gubernamental de Guam entre agosto de 2022 y mayo de 2023. Posterior a una baja de su actividad en mayo a razón de una divulgación pública por parte de entes gubernamentales para evitar detecciones; en agosto de 2023 se observa el aumento en la explotación de nuevos bots de KV-botnet, coincidiendo con la interacción de éstos con una empresa de energía renovable en Europa hasta noviembre de 2023.

Lazarus APT detrás de operación BLACKSMITH

Cisco Talos ha descubierto recientemente una campaña llamada "Operación BLACKSMITH" llevada a cabo por el Grupo Lazarus, que emplea al menos tres nuevas familias de malware basadas en DLang. Dos de ellas son troyanos de acceso remoto (RAT), uno utiliza bots y canales de Telegram como medios de comunicación de comando y control (C2), denominado "NineRAT" y la otra no basada en Telegram que se conoce como "DLRAT", el descargador basado en DLang es llamado "BottomLoader". Según los investigadores, este descubrimiento revela un cambio en las tácticas del Lazarus Group, un grupo patrocinado por el estado norcoreano, que en el último año y medio ha utilizado tecnologías poco comunes en el desarrollo de RAT, como QtFramework y PowerBasic y ahora DLang.

Se ha observado en la investigación, una superposición entre esta campaña y las tácticas previas del Lazarus Group, particularmente con el subgrupo Andariel APT, considerado parte del grupo de afiliados de Lazarus. La campaña busca objetivos oportunistas en empresas a nivel mundial, atacando infraestructuras vulnerables expuestas públicamente, como en el caso de CVE-2021-44228 (Log4j). Lazarus ha dirigido sus ataques hacia empresas manufactureras, agrícolas y de seguridad física. Estos hallazgos resaltan la persistente amenaza cibernética que representa Lazarus en su objetivo de explotar vulnerabilidades n-day o vulnerabilidades que tiene parches disponibles.

Grupo APT hacktivista SiegedSec, compromete  centro de investigación nuclear de los Estados Unidos

El Laboratorio Nacional de Idaho (INL) ha confirmado ser víctima de un ciberataque luego de que el grupo de hacktivistas 'SiegedSec' quienes filtraron datos de recursos humanos robados en línea. INL, es un destacado centro de investigación nuclear bajo la supervisión del Departamento de Energía de los Estados Unidos, cuenta con 5,700 especialistas en energía atómica, energía integrada y seguridad nacional. Este ataque expuso información confidencial de recursos humanos, evidenciando la vulnerabilidad de una institución clave en la investigación nuclear y la seguridad nacional. La filtración realizada por 'SiegedSec', afectó principalmente a los servidores que albergan su sistema Oracle HCM y soporta sus aplicaciones de Recursos Humanos. Lo que destaca la capacidad de los hacktivistas para comprometer instituciones de gran envergadura, subrayando la importancia de la ciberseguridad en sectores críticos. Se desconocen aún las tácticas técnicas y procedimientos (TTP) utilizadas por el grupo de ciberactores para ganar el acceso inicial, sin embargo el INL, al ser un centro clave para la investigación nuclear, se encuentra en el epicentro de esfuerzos estratégicos y de seguridad para continuar con la comunicación transparente sobre el incidente, lo que subraya la necesidad de medidas robustas para salvaguardar la integridad y confidencialidad de datos cruciales en el ámbito de la energía y la seguridad nacional.

APT OilRig fue descubierta implementando nuevos downloaders  para sus operaciones de C&C y exfiltración de datos

En febrero de 2022, se identificó un nuevo downloader de OilRig denominado ODAgent, un programa C#/.NET que utiliza la API de Microsoft OneDrive para las comunicaciones de comando y control (C&C). A diferencia de otros backdoors de OilRig, ODAgent se centra en la descarga, ejecución de cargas útiles y filtración de archivos organizados. Se detectó en la red de una empresa manufacturera en Israel, que ya había sido afectada por downloaders anteriores de OilRig, como SC5k y OilCheck. A lo largo de 2022, los investigadores observan un patrón repetitivo en el despliegue de nuevos downloaders en redes previamente atacadas por OilRig, con implementaciones cada vez más complejas y cambios en proveedores de servicios en la nube para la comunicación C&C.

Los downloaders, como OilBooster, SC5k v1, SC5k v2, SC5k v3 y el backdoor Shark, comparten lógica similar pero tienen implementaciones diferentes. Todos muestran una complejidad creciente con el tiempo, alternando entre binarios C#/.NET y aplicaciones C/C++, y variando los proveedores de servicios en la nube. OilRig ha dirigido estos downloaders exclusivamente contra objetivos en Israel, utilizando el servicio en la nube para mezclarse en el flujo regular de tráfico de red. Aunque se desconoce el vector de ataque inicial, se han identificado organizaciones afectadas, incluyendo una empresa manufacturera, una organización gubernamental local, una organización sanitaria y otras organizaciones no identificadas en Israel.

Se evidencia nueva variante de malware tipo stealer llamado Rhadamanthys 

El malware Rhadamanthys, un ladrón de información disponible en el mercado negro, ha lanzado una nueva versión principal, la 0.5.0, que presenta ampliaciones en sus capacidades de robo y la introducción de funciones de espionaje de propósito general. Esta actualización destaca un sistema de complementos que permite la personalización del malware según las necesidades específicas de los distribuidores. Aunque los formatos ejecutables personalizados, como XS1 y XS2, no han experimentado cambios desde la última publicación, el malware sigue siendo multifacético y se actualiza con regularidad. Check Point Research (CPR) ofrece una revisión exhaustiva de los módulos de la variante, detallando sus capacidades e implementación. El enfoque se centra en la cadena de carga utilizada para recuperar el paquete con los componentes del stealer y un análisis detallado de estos componentes, incluyendo su estructura y habilidades.

Nueva campaña activa del malware BazarLoader utiliza Google Forms para legitimar sus operaciones de phishing

Ha sido identificada una nueva campaña de malware denominada BazarCall, conocida por su método poco convencional de distribución de malware mediante interacciones telefónicas manipuladas. La versión actualizada del ataque, denominada BazarCall 0.5.0, destaca la incorporación de Google Forms para aumentar su apariencia de legitimidad. Los ataques BazarCall generalmente comienzan con correos electrónicos de phishing que simulan notificaciones de pago o confirmaciones de suscripción de marcas conocidas, incitando a las víctimas a llamar a un número proporcionado. Durante la llamada, los atacantes, disfrazados de atención al cliente, persuaden a las víctimas para que instalen malware, buscando obtener acceso no autorizado a los activos de la organización. De acuerdo a los investigadores de Abnormal, la campaña BazarCall ha suplantado diversas marcas, como Netflix y McAfee. La nueva variante utiliza Google Forms para crear formularios falsos que simulan confirmaciones de pago, dificultando la detección ya que los correos se envían desde direcciones de Google y parecen legítimos. La dificultad de detección reside en la ausencia de indicadores claros de compromiso, enlaces alojados en dominios confiables y la capacidad de evadir medidas estáticas de seguridad.

Vulnerabilidad de QNAP VIOSTOR NVR aprovechada activamente por botnet INFECTEDSLURS

A finales de octubre de 2023, el SIRT de Akamai detectó un aumento en la actividad de honeypots dirigidos a un puerto TCP poco común, con intentos de autenticación y explotación de inyección de comandos. Inicialmente, la investigación no reveló los dispositivos vulnerables afectados. La exploración de la ruta de explotación HTTP específica y el puerto objetivo condujo a un escaneo de Internet, y los resultados iniciales sugieren un dispositivo compatible con el protocolo RTSP y asociado con cámaras de seguridad CCTV/NVR/DVR. La exposición de puertos indicó la presencia de HTTPS, revelando credenciales predeterminadas comunes en los dispositivos. Al examinar manuales y documentación de un fabricante específico de NVR, se identificaron credenciales administrativas predeterminadas que coincidían con las observadas en la carga útil del exploit. Se confirmó la explotación activa de un nuevo exploit de día cero dirigido a dispositivos NVR, con otro exploit de día cero identificado más tarde, afectando a routers LAN inalámbricos. La campaña parece ser orquestada por la botnet InfectedSlurs, que utiliza variantes de malware JenX Mirai y hailBot Mirai, con indicadores de odio racial en los dominios C2. El SIRT estima que al menos dos proveedores afectados planean proporcionar detalles adicionales después de la divulgación responsable. La botnet InfectedSlurs ha estado activa en la explotación de dispositivos IoT, por lo que se destaca la necesidad de la comunidad de seguridad de abordar estos riesgos.

Una falla de seguridad de Cloud Site Manager permite acceso a no autorizado a las consolas de los dispositivos de red Ubiquiti de otros usuarios 

Ubiquiti, proveedor de dispositivos de red, experimentó un incidente donde usuarios informaron acceso no autorizado a dispositivos y notificaciones incorrectas en UniFi Protect. Uno de los clientes menciona en la página de soporte de Ubiquiti; recibir una notificación que mostraba imágenes de la cámara de seguridad de otro usuario, mientras que otro afirmó tener acceso a 88 console de otra cuenta al gestionar sus dispositivos en UniFi Site Manager. Otros usuarios compartieron experiencias similares en Reddit, indicando la capacidad de administrar dispositivos ajenos. Ubiquiti confirmó que estos problemas resultaron de una configuración incorrecta durante una actualización de la infraestructura en la nube UniFi, afectando a 1,216 cuentas (Grupo 1) y permitiendo a 1,177 cuentas (Grupo 2) acceder incorrectamente a notificaciones y dispositivos de otros usuarios. La incidencia ocurrió el 13 de diciembre y de acuerdo a la mención de BleepingComputer, Ubiquiti aún no proporciona una declaración pública de la falla, sin embargo, menciona que el problema ha sido solucionado, manteniendo las   investigación del incidente, creyendo que solo doce cuentas se vieron comprometidas por lo que los afectados recibirán notificaciones por correo electrónico.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 18 al 24 de diciembre de 2023:

Objetivos observados durante semana de análisis: 

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

• Retail y servicios de consumo
• Infraestructura tecnológica - Componentes
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio

• Construcción e inmobiliaria
• Servicios legales y profesionales

• Industrias manufactureras, materiales y minería
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Servicios básicos y sanitarios
• Agricultura, ganadería, silvicultura y pesca - consumo

• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
• Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
• Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
• Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
• Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
• Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
• Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.