El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
Una banda de ransomware afirma haber atacado xerox corp
El grupo de ransomware INC RANSOM afirma haber hackeado la multinacional estadounidense Xerox Corp, que ofrece soluciones de gestión de documentos a nivel mundial. La segmentación de Document Technology de la empresa incluye impresoras monocromáticas y a color, impresoras multifunción, copiadoras, prensas de impresión digital y dispositivos de producción ligera. El grupo ransomware amenaza con divulgar los datos supuestamente robados y ha añadido a Xerox a su lista de víctimas en su sitio de filtración en Tor. Se han publicado imágenes de ocho documentos, como correos electrónicos y una factura, como prueba del hackeo. Actualmente no se conoce la cantidad de datos presuntamente sustraídos. INC RANSOM ha estado activo desde 2023 y ha reclamado la responsabilidad de más de 40 violaciones de seguridad hasta la fecha.
Vulnerabilidad de cisco asa: actor de amenazas exige 1 millón de dólares por rce
Un actor de amenazas, denominado "xc7d2f4", afirma vender una vulnerabilidad de inyección remota de comandos para Cisco ASA y exige US$1 millón. Esta vulnerabilidad afectaría a la serie 55XX del dispositivo de seguridad adaptativa de Cisco. Aunque se ha intentado confirmar la exposición de la vulnerabilidad con Cisco, aún no hay respuesta oficial. El actor de amenazas ofrece el módulo RCI.rb (ruby) Meterpreter, un manual en PDF sobre su uso, otro PDF detallando la vulnerabilidad y fragmentos de código para ingeniería inversa. La venta plantea riesgos significativos, ya que permite a los actores maliciosos ejecutar comandos arbitrarios de forma remota, comprometiendo la infraestructura crítica. La mitigación implica aplicar parches de seguridad, actualizar sistemas y realizar auditorías exhaustivas.
Hackers atacan servidores apache rocketmq vulnerables a ataques rce
Investigadores de seguridad detectan diariamente cientos de direcciones IP que intentan explotar vulnerabilidades en servicios de Apache RocketMQ, identificadas como CVE-2023-33246 y CVE-2023-37582. Ambas tienen gravedad crítica y persisten tras el parche inicial de mayo de 2023. La vulnerabilidad original, CVE-2023-33246, afectó componentes como NameServer, Broker y Controller. La corrección incompleta de Apache para el componente NameServer en RocketMQ persiste en versiones 5.1 y anteriores. Atacantes pueden ejecutar comandos aprovechando la función de actualización en NameServer cuando la dirección está expuesta en línea sin verificaciones de permisos. La nueva designación, CVE-2023-37582, sugiere actualizar a NameServer 5.1.2/4.9.7 o superior. The ShadowServer Foundation registra escaneos y ataques a sistemas RocketMQ. Hackers los explotan desde agosto de 2023, y en septiembre, la CISA instó a parchar la vulnerabilidad.
Grupo UAC-0050 utiliza nuevas tácticas de phishing para distribuir la rat remcos
El actor de amenazas conocido como UAC-0050 está utilizando ataques de phishing para distribuir el troyano Remcos RAT, empleando nuevas estrategias para evadir la detección de software de seguridad. UAC-0050, activo desde 2020, ha dirigido campañas de ingeniería social contra entidades ucranianas y polacas, simulando ser organizaciones legítimas. En su última táctica, han integrado un método de comunicación interprocesos a través de tuberías, demostrando su avanzada adaptabilidad. El informe de Uptycs, basado en un archivo LNK descubierto en diciembre de 2023, revela que el acceso inicial se sospecha a través de correos electrónicos de phishing dirigidos al personal militar ucraniano. La técnica de emplear tuberías en el sistema operativo Windows proporciona un canal encubierto para la transferencia de datos, evitando la detección por sistemas antivirus y de respuesta ante incidentes. Este enfoque, aunque no completamente nuevo, representa un avance significativo en la sofisticación de las estrategias del grupo.
Malware abusa del endpoint oauth de google para 'revivir' cookies y secuestrar cuentas
Múltiples familias de malware roban información aprovechando un endpoint no documentado de Google OAuth llamado "MultiLogin" para restaurar cookies de autenticación vencidas y acceder a cuentas de usuarios, incluso después de restablecer las contraseñas. Estos troyanos, como Lumma y Rhadamanthys, utilizan el método para recuperar cookies de autenticación de Google sustraídas. El informe de CloudSEK detalla que la vulnerabilidad, revelada por el actor de amenazas PRISMA, utiliza el endpoint "MultiLogin" para sincronizar cuentas en servicios Google. Los atacantes extraen tokens y IDs de cuentas Chrome, lo que les permite regenerar cookies vencidas y mantener acceso persistente. Al menos seis info-stealers, incluyendo Lumma y Medusa, han adoptado este exploit, y Google ha tomado medidas para asegurar cuentas comprometidas. Usuarios deben cerrar sesión, cambiar la contraseña y volver a ingresar para protegerse.
Nueva versión de meduza stealer liberada en la dark web
En vísperas de Navidad, la unidad HUNTER de Resecurity identificó una nueva versión (2.2) del ladrón de contraseñas Meduza, destacando mejoras significativas, como soporte para más clientes de software, un capturador de tarjetas de crédito mejorado y mecanismos avanzados para el volcado de contraseñas. Meduza, competidor de Azorult, Redline, Racoon y Vidar Stealer, es utilizado por ciberdelincuentes para el robo de cuentas, fraude bancario en línea y fraude financiero. Esta actualización, anunciada en comunidades subterráneas, incluye mejoras en la interfaz de usuario y la expansión de objetos de recopilación de datos. Meduza ahora es compatible con Windows Server 2012/2016/2019/2022 y Windows 10/11, ofreciendo soporte para numerosos navegadores, monederos criptográficos, aplicaciones y gestores de contraseñas, entre otros.
Spectralblur: nueva amenaza de backdoor para macos de hackers norcoreanos
Investigadores de ciberseguridad han descubierto un nuevo backdoor para Apple macOS llamado SpectralBlur, que comparte similitudes con una familia de malware conocida atribuida a actores de amenazas norcoreanos. SpectralBlur es un backdoor moderadamente capaz que puede subir/bajar archivos, ejecutar un shell, actualizar su configuración, eliminar archivos, hibernar o dormir, según comandos del servidor de control. Se asemeja a KANDYKORN (también conocido como SockRacket), un implante avanzado que funciona como un troyano de acceso remoto capaz de tomar control de un host comprometido. La actividad de KANDYKORN también se cruza con campañas de BlueNoroff (TA444), subgrupo de Lazarus. Este descubrimiento sugiere que los actores norcoreanos están enfocando cada vez más sus esfuerzos en macOS para infiltrar objetivos de alto valor, especialmente en las industrias de criptomonedas y blockchain.
Nueva variante del secuestro de órdenes de búsqueda dll elude las protecciones de windows 10 y 11
Investigadores de seguridad han identificado una nueva variante de la técnica de secuestro del orden de búsqueda de bibliotecas dinámicas (DLL) que podría ser utilizada por actores de amenazas para eludir mecanismos de seguridad y ejecutar código malicioso en sistemas con Microsoft Windows 10 y Windows 11. Esta técnica aprovecha ejecutables comúnmente encontrados en la confiable carpeta WinSxS y los explota mediante el clásico secuestro del orden de búsqueda de DLL. Permite a los adversarios eliminar la necesidad de privilegios elevados al intentar ejecutar código malicioso y potencialmente introducir bibliotecas binarias vulnerables en la cadena de ataque. La técnica se centra en archivos ubicados en la confiable carpeta "C:\Windows\WinSxS", utilizando el orden de búsqueda de DLL para ejecutar código malicioso sin la necesidad de privilegios elevados. Se advierte a las organizaciones que tomen precauciones para mitigar este método de explotación en sus entornos.
Vulnerabilidad en un chip de qualcomm permite un ataque remoto mediante una llamada de voz
Qualcomm ha revelado una vulnerabilidad crítica el primer día del año que permitiría ataques remotos a través de llamadas de voz maliciosas en redes LTE. El boletín de seguridad de enero de 2024 enumera un total de 26 vulnerabilidades, incluidas cuatro críticas, que afectan a los conjuntos de chips de Qualcomm. Los parches ya están disponibles para los fabricantes de equipos originales (OEM) cuyos dispositivos utilizan chips de Qualcomm, incluidos los populares de la serie Snapdragon. La vulnerabilidad más grave, identificada como CVE-2023-33025, presenta un riesgo durante las llamadas VoLTE debido a un desbordamiento de búfer que causa corrupción de memoria en el módem de datos. Aunque su explotación sería difícil, Qualcomm aconseja a los usuarios conectarse solo a redes LTE seguras y confiables. Otras vulnerabilidades críticas también afectan a más de 100 conjuntos de chips, incluidos problemas de denegación de servicio permanente y corrupción de memoria. Los OEM fueron notificados con anticipación para actualizar sus sistemas.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 8 al 14 de enero del 2024.
Objetivos observados durante semana de análisis:
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Tipo | Indicador |
---|---|
INC Ransom | . |
hash | fcefe50ed02c8d315272a94f860... |
hash | 05e4f234a0f177949f375a56b1a... |
hash | fef674fce37d5de43a4d36e86b2... |
hash | 3156ee399296d55e56788b48770... |
hash | ca9d2440850b730ba03b3a4f410... |