ENTEL Weekly Threat Intelligence Brief del 02 de enero 2024 al 07 de enero de 2024

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Una banda de ransomware afirma haber atacado xerox corp
• Vulnerabilidad de cisco asa: actor de amenazas exige 1 millón de dólares por rce
• Hackers atacan servidores apache rocketmq vulnerables a ataques rce
• El grupo UAC-0050 utiliza nuevas tácticas de phishing para distribuir la rat remcos
• Una nueva variante del secuestro de órdenes de búsqueda dll elude las protecciones de windows 10 y 11
• Vulnerabilidad en un chip de qualcomm permite un ataque remoto mediante una llamada de voz
• Malware abusa del endpoint oauth de google para 'revivir' cookies y secuestrar cuentas 
• Nueva versión de meduza stealer liberada en la dark web
• Spectralblur: nueva amenaza de backdoor para macos de hackers norcoreanos

Una banda de ransomware afirma haber atacado xerox corp

El grupo de ransomware INC RANSOM afirma haber hackeado la multinacional estadounidense Xerox Corp, que ofrece soluciones de gestión de documentos a nivel mundial. La segmentación de Document Technology de la empresa incluye impresoras monocromáticas y a color, impresoras multifunción, copiadoras, prensas de impresión digital y dispositivos de producción ligera. El grupo ransomware amenaza con divulgar los datos supuestamente robados y ha añadido a Xerox a su lista de víctimas en su sitio de filtración en Tor. Se han publicado imágenes de ocho documentos, como correos electrónicos y una factura, como prueba del hackeo. Actualmente no se conoce la cantidad de datos presuntamente sustraídos. INC RANSOM ha estado activo desde 2023 y ha reclamado la responsabilidad de más de 40 violaciones de seguridad hasta la fecha.

Vulnerabilidad de cisco asa: actor de amenazas exige 1 millón de dólares por rce

Un actor de amenazas, denominado "xc7d2f4", afirma vender una vulnerabilidad de inyección remota de comandos para Cisco ASA y exige US$1 millón. Esta vulnerabilidad afectaría a la serie 55XX del dispositivo de seguridad adaptativa de Cisco. Aunque se ha intentado confirmar la exposición de la vulnerabilidad con Cisco, aún no hay respuesta oficial. El actor de amenazas ofrece el módulo RCI.rb (ruby) Meterpreter, un manual en PDF sobre su uso, otro PDF detallando la vulnerabilidad y fragmentos de código para ingeniería inversa. La venta plantea riesgos significativos, ya que permite a los actores maliciosos ejecutar comandos arbitrarios de forma remota, comprometiendo la infraestructura crítica. La mitigación implica aplicar parches de seguridad, actualizar sistemas y realizar auditorías exhaustivas.

Hackers atacan servidores apache rocketmq vulnerables a ataques rce

Investigadores de seguridad detectan diariamente cientos de direcciones IP que intentan explotar vulnerabilidades en servicios de Apache RocketMQ, identificadas como CVE-2023-33246 y CVE-2023-37582. Ambas tienen gravedad crítica y persisten tras el parche inicial de mayo de 2023. La vulnerabilidad original, CVE-2023-33246, afectó componentes como NameServer, Broker y Controller. La corrección incompleta de Apache para el componente NameServer en RocketMQ persiste en versiones 5.1 y anteriores. Atacantes pueden ejecutar comandos aprovechando la función de actualización en NameServer cuando la dirección está expuesta en línea sin verificaciones de permisos. La nueva designación, CVE-2023-37582, sugiere actualizar a NameServer 5.1.2/4.9.7 o superior. The ShadowServer Foundation registra escaneos y ataques a sistemas RocketMQ. Hackers los explotan desde agosto de 2023, y en septiembre, la CISA instó a parchar la vulnerabilidad.

Grupo UAC-0050 utiliza nuevas tácticas de phishing para distribuir la rat remcos

El actor de amenazas conocido como UAC-0050 está utilizando ataques de phishing para distribuir el troyano Remcos RAT, empleando nuevas estrategias para evadir la detección de software de seguridad. UAC-0050, activo desde 2020, ha dirigido campañas de ingeniería social contra entidades ucranianas y polacas, simulando ser organizaciones legítimas. En su última táctica, han integrado un método de comunicación interprocesos a través de tuberías, demostrando su avanzada adaptabilidad. El informe de Uptycs, basado en un archivo LNK descubierto en diciembre de 2023, revela que el acceso inicial se sospecha a través de correos electrónicos de phishing dirigidos al personal militar ucraniano. La técnica de emplear tuberías en el sistema operativo Windows proporciona un canal encubierto para la transferencia de datos, evitando la detección por sistemas antivirus y de respuesta ante incidentes. Este enfoque, aunque no completamente nuevo, representa un avance significativo en la sofisticación de las estrategias del grupo.

Malware abusa del endpoint oauth de google para 'revivir' cookies y secuestrar cuentas

Múltiples familias de malware roban información aprovechando un endpoint no documentado de Google OAuth llamado "MultiLogin" para restaurar cookies de autenticación vencidas y acceder a cuentas de usuarios, incluso después de restablecer las contraseñas. Estos troyanos, como Lumma y Rhadamanthys, utilizan el método para recuperar cookies de autenticación de Google sustraídas. El informe de CloudSEK detalla que la vulnerabilidad, revelada por el actor de amenazas PRISMA, utiliza el endpoint "MultiLogin" para sincronizar cuentas en servicios Google. Los atacantes extraen tokens y IDs de cuentas Chrome, lo que les permite regenerar cookies vencidas y mantener acceso persistente. Al menos seis info-stealers, incluyendo Lumma y Medusa, han adoptado este exploit, y Google ha tomado medidas para asegurar cuentas comprometidas. Usuarios deben cerrar sesión, cambiar la contraseña y volver a ingresar para protegerse.

Nueva versión de meduza stealer liberada en la dark web

En vísperas de Navidad, la unidad HUNTER de Resecurity identificó una nueva versión (2.2) del ladrón de contraseñas Meduza, destacando mejoras significativas, como soporte para más clientes de software, un capturador de tarjetas de crédito mejorado y mecanismos avanzados para el volcado de contraseñas. Meduza, competidor de Azorult, Redline, Racoon y Vidar Stealer, es utilizado por ciberdelincuentes para el robo de cuentas, fraude bancario en línea y fraude financiero. Esta actualización, anunciada en comunidades subterráneas, incluye mejoras en la interfaz de usuario y la expansión de objetos de recopilación de datos. Meduza ahora es compatible con Windows Server 2012/2016/2019/2022 y Windows 10/11, ofreciendo soporte para numerosos navegadores, monederos criptográficos, aplicaciones y gestores de contraseñas, entre otros.

Spectralblur: nueva amenaza de backdoor para macos de hackers norcoreanos 

Investigadores de ciberseguridad han descubierto un nuevo backdoor para Apple macOS llamado SpectralBlur, que comparte similitudes con una familia de malware conocida atribuida a actores de amenazas norcoreanos. SpectralBlur es un backdoor moderadamente capaz que puede subir/bajar archivos, ejecutar un shell, actualizar su configuración, eliminar archivos, hibernar o dormir, según comandos del servidor de control. Se asemeja a KANDYKORN (también conocido como SockRacket), un implante avanzado que funciona como un troyano de acceso remoto capaz de tomar control de un host comprometido. La actividad de KANDYKORN también se cruza con campañas de BlueNoroff (TA444), subgrupo de Lazarus. Este descubrimiento sugiere que los actores norcoreanos están enfocando cada vez más sus esfuerzos en macOS para infiltrar objetivos de alto valor, especialmente en las industrias de criptomonedas y blockchain.

Nueva variante del secuestro de órdenes de búsqueda dll elude las protecciones de windows 10 y 11

Investigadores de seguridad han identificado una nueva variante de la técnica de secuestro del orden de búsqueda de bibliotecas dinámicas (DLL) que podría ser utilizada por actores de amenazas para eludir mecanismos de seguridad y ejecutar código malicioso en sistemas con Microsoft Windows 10 y Windows 11. Esta técnica aprovecha ejecutables comúnmente encontrados en la confiable carpeta WinSxS y los explota mediante el clásico secuestro del orden de búsqueda de DLL. Permite a los adversarios eliminar la necesidad de privilegios elevados al intentar ejecutar código malicioso y potencialmente introducir bibliotecas binarias vulnerables en la cadena de ataque. La técnica se centra en archivos ubicados en la confiable carpeta "C:\Windows\WinSxS", utilizando el orden de búsqueda de DLL para ejecutar código malicioso sin la necesidad de privilegios elevados. Se advierte a las organizaciones que tomen precauciones para mitigar este método de explotación en sus entornos.

Vulnerabilidad en un chip de qualcomm permite un ataque remoto mediante una llamada de voz

Qualcomm ha revelado una vulnerabilidad crítica el primer día del año que permitiría ataques remotos a través de llamadas de voz maliciosas en redes LTE. El boletín de seguridad de enero de 2024 enumera un total de 26 vulnerabilidades, incluidas cuatro críticas, que afectan a los conjuntos de chips de Qualcomm. Los parches ya están disponibles para los fabricantes de equipos originales (OEM) cuyos dispositivos utilizan chips de Qualcomm, incluidos los populares de la serie Snapdragon. La vulnerabilidad más grave, identificada como CVE-2023-33025, presenta un riesgo durante las llamadas VoLTE debido a un desbordamiento de búfer que causa corrupción de memoria en el módem de datos. Aunque su explotación sería difícil, Qualcomm aconseja a los usuarios conectarse solo a redes LTE seguras y confiables. Otras vulnerabilidades críticas también afectan a más de 100 conjuntos de chips, incluidos problemas de denegación de servicio permanente y corrupción de memoria. Los OEM fueron notificados con anticipación para actualizar sus sistemas.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 8 al 14 de enero del 2024.

Objetivos observados durante semana de análisis:

• Servicios legales y profesionales
• Defensa y orden público
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Banca y Finanzas
• Educación
• Entretenimiento, cultura y arte
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia
• Turismo, hoteles y restaurantes
• Construcción e inmobiliaria
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Agricultura, ganadería, silvicultura y pesca - consumo

• Sin registros para Defcon-1 

• Banca y Finanzas
• Servicios de salud, sociales y farmacia
• Transportes y servicios automotrices.

• Servicios legales y profesionales
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Construcción e inmobiliaria
• Infraestructura tecnológica - Componentes
• Servicios empresariales y comercio

• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Infraestructura tecnológica
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Shipment y cadena de suministros
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.