ENTEL Weekly Threat Intelligence Brief del 26 de febrero al 03 de marzo de 2024

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• LockBit ransomware vuelve a los ataques con nuevos cifradores y servidores
• Las bandas de ransomware Black Basta y Bl00dy se unen a los ataques de ScreenConnect
• El nuevo malware Bifrost para Linux imita el dominio de VMware para la evasión
• El malware sigiloso GTPDOOR Linux apunta a las redes de operadores móviles
• Ciberactores de Lazarus explotaron día cero de Windows para obtener privilegios del Kernel
• Ciberactores rusos secuestran enrutadores Ubiquiti para lanzar ataques sigilosos
• La nueva versión del cargador IDAT utiliza esteganografía para impulsar Remcos RAT
• Nueva ola de infecciones SocGholish se hace pasar por complementos de WordPress
• Vulnerabilidades afectan a productos Cisco
• Vulnerabilidad afecta a VMware Workstation y Fusion

LockBit ransomware vuelve a los ataques con nuevos cifradores y servidores

Preocupante retorno de LockBit, una de las bandas de ransomware más notorias, al panorama de ciberataques con el despliegue de nuevos cifradores y servidores. Este regreso ocurre tras una breve interrupción atribuida a acciones de las fuerzas del orden, lo que indica una rápida recuperación y adaptación de la banda.

La capacidad de LockBit para actualizar su infraestructura y reiniciar sus operaciones ilustra la resiliencia y la complejidad de las redes de ransomware modernas. Este fenómeno no solo desafía los esfuerzos de aplicación de la ley sino que también resalta la importancia de una defensa cibernética robusta y actualizada. La promesa de LockBit de continuar sus ataques refuerza la necesidad de que las organizaciones estén en constante vigilancia y mejoren sus medidas de seguridad para protegerse contra estas amenazas persistentes.

El regreso de LockBit con tecnología renovada es un recordatorio sombrío de la naturaleza evolutiva de las amenazas de ransomware. Subraya la urgencia de adoptar estrategias de seguridad cibernética proactivas y adaptativas que puedan enfrentar la adaptabilidad de los actores de amenazas. La batalla contra el ransomware es continua, y la vigilancia, junto con la inversión en seguridad, es más crucial que nunca.

Las bandas de ransomware Black Basta y Bl00dy se unen a los ataques de ScreenConnect

La reciente noticia sobre los ataques conjuntos de las bandas de ransomware Black Basta y Bl00dy a servidores ScreenConnect destaca una preocupante tendencia en la ciberseguridad. Estos grupos están explotando una vulnerabilidad crítica, CVE-2024-1709, que permite la creación no autorizada de cuentas de administrador, otorgándoles acceso completo a los sistemas comprometidos.

La gravedad de estos ataques radica en la habilidad de los atacantes para insertar malware y establecer backdoors, comprometiendo la integridad y la privacidad de los datos corporativos y personales. Este método de ataque no solo subraya la sofisticación y el alcance de las operaciones de ransomware modernas, sino que también resalta la vulnerabilidad de sistemas aparentemente seguros ante tácticas ingeniosas. La respuesta de la comunidad de ciberseguridad ha sido rápida, enfatizando la necesidad urgente de aplicar los parches de seguridad disponibles para mitigar estos riesgos.

Este incidente sirve como un recordatorio crítico de la importancia de la vigilancia constante y la actualización proactiva de los sistemas para protegerse contra amenazas emergentes. La colaboración entre las bandas de ransomware señala una evolución en la estrategia de amenazas, lo que requiere una respuesta igualmente coordinada y robusta por parte de las organizaciones y los profesionales de seguridad informática.

Ciberactores de Lazarus explotaron día cero de Windows para obtener privilegios del Kernel

El grupo de ciberactores Lazarus, conocido por sus vínculos con Corea del Norte, ha explotado una vulnerabilidad de día cero en Windows para obtener privilegios de kernel. Este ataque pone de manifiesto la sofisticación y la persistencia de las amenazas cibernéticas patrocinadas por estados.

La vulnerabilidad explotada por Lazarus permitió una escalada de privilegios sin precedentes, lo que subraya la complejidad de las tácticas empleadas por grupos cibernéticos avanzados. Este incidente no solo resalta los riesgos asociados con vulnerabilidades desconocidas (días cero) en software ampliamente utilizado, sino que también enfatiza la necesidad de una detección y respuesta rápidas a incidentes de seguridad. La capacidad de Lazarus para operar de manera encubierta y explotar tales vulnerabilidades plantea serias preocupaciones sobre la seguridad de la infraestructura crítica y los datos sensibles.

Ciberactores rusos secuestran enrutadores Ubiquiti para lanzar ataques sigilosos

Un reciente informe revela una campaña sofisticada de ciberataques orquestada por hackers rusos, quienes han logrado comprometer routers Ubiquiti EdgeRouters. Este avance tecnológico en las tácticas de hackeo pone de manifiesto la creciente amenaza de las operaciones cibernéticas avanzadas.

La implicación de la Unidad Militar 26165, conocida como APT28 o Fancy Bear, en estos ataques subrayan la capacidad de actores estatales para infiltrarse en infraestructuras críticas. Utilizando técnicas avanzadas, los atacantes han creado botnets extensas, robado credenciales y redirigido tráfico malicioso, evidenciando una amenaza significativa para la seguridad de la información global. Este modus operandi no solo demuestra la habilidad técnica de los atacantes sino que también plantea serios desafíos para la detección y mitigación de estas amenazas.

El FBI y las agencias asociadas detrás del aviso recomiendan las siguientes medidas para deshacerse de la infección de malware y bloquear el acceso de APT28 a los enrutadores comprometidos:

• Realice un restablecimiento de fábrica del hardware para eliminar los sistemas de archivos de archivos maliciosos
• Actualice a la última versión de firmware
• Cambiar los nombres de usuario y contraseñas predeterminados
• Implementar reglas de firewall estratégicas en las interfaces del lado WAN para evitar la exposición no deseada a servicios de administración remota.

La nueva versión del cargador IDAT utiliza esteganografía para impulsar Remcos RAT

Se observó que un grupo de ciberactores informáticos identificado como 'UAC-0184' utilizaba archivos de imágenes esteganográficas para introducir el troyano de acceso remoto (RAT) Remcos en los sistemas de una entidad ucraniana que opera en Finlandia.

UAC-0184 son actores de amenazas que Trend Micro vio llevando a cabo ataques a finales de 2023 contra las Fuerzas Armadas de Ucrania, utilizando también el mismo malware. La última actividad del grupo de amenazas, que comenzó a principios de enero de 2024 y fue detectada por analistas de Morphisec, ilustra que se han expandido para apuntar a organizaciones fuera de Ucrania que están afiliadas a su objetivo estratégico.

La esteganografía es una táctica bien documentada pero rara vez vista que implica codificar código malicioso en los datos de píxeles de las imágenes para evadir la detección por parte de soluciones que utilizan reglas basadas en firmas.

La cadena de ataques observada por investigadores de Morphisec comienza con un correo electrónico de phishing cuidadosamente elaborado, supuestamente de la 3.ª Brigada de Asalto Separada de Ucrania o de las Fuerzas de Defensa de Israel. Los destinatarios engañados que abren el archivo adjunto de acceso directo desencadenan una cadena de infección que lanza un ejecutable (DockerSystem_Gzv3[.]exe), que a su vez activa un cargador de malware modular llamado 'IDAT'.
 

El malware sigiloso GTPDOOR Linux apunta a las redes de operadores móviles

El investigador de seguridad HaxRob descubrió una puerta trasera de Linux previamente desconocida llamada GTPDOOR, diseñada para operaciones encubiertas dentro de las redes de operadores de telefonía móvil. La reciente identificación de GTPDoor, un malware de Linux, ha generado preocupación debido a su enfoque en las redes de operadores móviles para llevar a cabo ataques de manera sigilosa. Esta amenaza subraya las vulnerabilidades existentes en infraestructuras críticas.

GTPDOOR es un sofisticado malware de puerta trasera diseñado para redes de telecomunicaciones, que aprovecha el plano de control del protocolo de túnel GPRS (GTP-C) para comunicaciones encubiertas de comando y control (C2).

Está diseñado para su implementación en sistemas basados ​​en Linux adyacentes al GRX, responsable de enrutar y reenviar la señalización relacionada con el roaming y el tráfico del plano de usuario.

El uso de GTP-C para la comunicación permite que GTPDOOR se combine con el tráfico de red legítimo y utilice puertos ya permitidos que no están monitoreados por soluciones de seguridad estándar. Para mayor sigilo, GTPDOOR puede cambiar el nombre de su proceso para imitar procesos legítimos del sistema.

GTPDoor se distingue por su capacidad para evadir la detección, lo que representa un desafío significativo para los mecanismos de seguridad actuales. La sofisticación de este malware evidencia una tendencia creciente hacia ataques más complejos y difíciles de rastrear, lo que pone en riesgo la integridad de datos y sistemas esenciales en el sector de telecomunicaciones.

Nueva ola de infecciones SocGholish se hace pasar por complementos de WordPress

El malware SocGholish , también conocido como “fake browser updates”, es uno de los tipos más comunes de infecciones de malware que vemos en sitios web pirateados. Esta campaña de malware de larga data aprovecha un marco de malware JavaScript que se ha estado utilizando desde al menos 2017. El malware intenta engañar a los usuarios desprevenidos para que descarguen lo que en realidad es un troyano de acceso remoto (RAT) en sus computadoras, que suele ser la primera etapa. en una infección de ransomware.

A finales de la semana pasada, nuestro equipo de respuesta a incidentes identificó una nueva ola de infecciones SocGholish dirigidas a sitios web de WordPress. Los sitios infectados se vieron comprometidos a través de cuentas de administrador de wp-admin comprometidas. Este es sólo uno de los innumerables ejemplos de por qué proteger su panel de administrador es de suma importancia, independientemente de si usa WordPress u otro CMS.

Aunque ha habido una variedad de complementos modificados maliciosamente y varias campañas diferentes de actualización de navegadores falsos, el objetivo, por supuesto, es siempre el mismo: engañar a los visitantes desprevenidos del sitio web para que descarguen troyanos de acceso remoto que luego se utilizarán como punto de entrada inicial para un ataque de ransomware.

El nuevo malware Bifrost para Linux imita el dominio de VMware para la evasión

Una nueva variante para Linux del troyano de acceso remoto (RAT) Bifrost emplea varias técnicas de evasión novedosas, incluido el uso de un dominio engañoso que apareció como parte de VMware.

Identificado por primera vez hace veinte años, Bifrost es una de las amenazas RAT más antiguas  en circulación. Infecta a los usuarios a través de archivos adjuntos de correo electrónico maliciosos o sitios que descargan cargas útiles y luego recopila información confidencial del host.  Los investigadores de la Unidad 42 de Palo Alto Networks informan haber observado recientemente un aumento en la actividad de Bitfrost, lo que los llevó a llevar a cabo una investigación que reveló una variante nueva y más sigilosa.

El análisis de las últimas muestras de Bitfrost realizado por investigadores de la Unidad 42 ha descubierto varias actualizaciones interesantes que mejoran las capacidades operativas y de evasión del malware.

En primer lugar, el servidor de comando y control (C2) al que se conecta el malware utiliza el dominio "download[.]vmfare[.]com", que parece similar a un dominio legítimo de VMware, lo que permite pasarlo por alto fácilmente durante la inspección.El dominio engañoso se resuelve contactando a un solucionador de DNS público con sede en Taiwán, lo que dificulta el rastreo y el bloqueo.

Bitfrost recopila el nombre de host, la dirección IP y los ID de proceso de la víctima, luego usa el cifrado RC4 para protegerlo antes de la transmisión y luego lo exfiltra al C2 a través de un socket TCP recién creado. Otro hallazgo nuevo destacado en el informe de la Unidad 42 es una versión ARM de Bitfrost, que tiene la misma funcionalidad que las muestras x86 analizadas en el artículo.

La aparición de esas compilaciones muestra que los atacantes tienen la intención de ampliar su alcance de ataque a arquitecturas basadas en ARM que ahora se están volviendo cada vez más comunes en diversos entornos. Aunque Bitfrost puede no considerarse una amenaza muy sofisticada ni una de las piezas de malware más ampliamente distribuidas, los descubrimientos realizados por el equipo de la Unidad 42 exigen una mayor vigilancia.

Vulnerabilidades afectan a productos Cisco

Cisco ha publicado 5 avisos de seguridad que contemplan 5 vulnerabilidades las cuales se clasifican de la siguiente manera, 2 con severidad Alta y 3 con severidad Media. Dichas vulnerabilidades afectan a los siguientes productos:

• Cisco NX-OS
• Cisco Nexus 3000 and 9000 Series Switches
• Cisco FXOS
• Cisco IMMv

Para más información visitar:
https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1866/
 

Vulnerabilidad afecta a VMware Workstation y Fusion

VMware ha publicado 1 aviso de seguridad que contempla 1 vulnerabilidad de severidad Media. Dicha vulnerabilidad afecta a los siguientes productos:

• VMware Workstation
• VMware Fusion

Para más información visitar:
https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1865/

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 04 al 10 de marzo de 2024:

Objetivos observados durante semana de análisis: 

• Servicios de salud, sociales y farmacia
• Servicios legales y profesionales
• Servicios empresariales y comercio
• Retail y servicios de consumo
• Infraestructura tecnológica - Componentes
• Industrias manufactureras, materiales y minería
• Transportes y servicios automotrices.
• Infraestructura tecnológica
• Banca y Finanzas
• Construcción e inmobiliaria
• Organizaciones sin fines de lucro
• Defensa y orden público
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo
• Agricultura, ganadería, silvicultura y pesca - producción
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Petróleo
• Servicios básicos y sanitarios
• Shipment y cadena de suministros

• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Construcción e inmobiliaria
• Banca y Finanzas
• Servicios empresariales y comercio
• Transportes y servicios automotrices.
• Educación

• Infraestructura tecnológica - Componentes
• Turismo, hoteles y restaurantes

• Retail y servicios de consumo
• Servicios de salud, sociales y farmacia
• Shipment y cadena de suministros
• Petróleo
• Servicios básicos y sanitarios

• Servicios legales y profesionales
• Entretenimiento, cultura y arte
• Defensa y orden público
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.