El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
Ransomware blackcat apaga los servidores en medio de la afirmación de que robaron 22 millones de dólares de rescate
La banda de ransomware ALPHV/BlackCat ha cesado operaciones, cerrando sus servidores tras acusaciones de estafar $22 millones a un afiliado en el ataque a Optum, gestor de Change Healthcare. BleepingComputer reportó la baja de sus plataformas de negociación, sugiriendo un desmantelamiento intencionado de su infraestructura. La incertidumbre rodea si esto constituye una estafa de salida o un intento de renovación bajo otro nombre. La situación se complica con el reclamo de un afiliado de haber sido defraudado tras el pago del rescate por Optum. Aún posee 4TB de datos sensibles de Optum, lo que intensifica la amenaza. Optum, enfocado en la investigación, no ha emitido comentarios adicionales. Este evento podría indicar una estafa de salida, donde los operadores desaparecen tras robar criptomonedas de sus afiliados, patrón previamente observado en la evolución de DarkSide a BlackMatter y finalmente ALPHV/BlackCat.
Se aprovechan los fallos de screenconnect para lanzar el nuevo malware toddleshark
El grupo norcoreano de hackers Kimsuky está explotando vulnerabilidades en ScreenConnect, específicamente CVE-2024-1708 y CVE-2024-1709, para distribuir un nuevo malware llamado ToddlerShark, enfocado en espionaje y recolección de inteligencia a largo plazo. Tras la divulgación de estas fallas el 20 de febrero de 2024, y la posterior liberación de exploits públicos, Kimsuky ha comenzado a atacar utilizando técnicas que minimizan su rastro, como el uso de binarios legítimos de Microsoft y modificaciones en el registro para bajar las defensas de seguridad. ToddlerShark establece acceso persistente y procede al robo continuo de datos. Se cree que ToddlerShark es una variante de los backdoors BabyShark y ReconShark de Kimsuky, previamente utilizados contra organizaciones gubernamentales y centros de investigación. Utiliza técnicas de polimorfismo para evadir detecciones, haciendo su análisis más complejo.
CISA añade un fallo del servicio de streaming de microsoft a su catálogo de vulnerabilidades explotadas conocidas
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha incorporado la vulnerabilidad CVE-2023-29360 de Microsoft Streaming Service, con una puntuación CVSS de 8.4, a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) debido a su gravedad y explotación activa. Esta vulnerabilidad de desreferenciación de puntero no confiable permite a un atacante obtener privilegios de SYSTEM. La existencia de códigos de prueba de concepto ha facilitado su incorporación en las cadenas de ataque de múltiples actores maliciosos. Los análisis revelaron su uso por parte de Raspberry Robin antes de octubre de 2023, con divulgación pública en junio y explotación en agosto.
Corea del sur afirma que la industria de semiconductores es objetivo de ciberespías de Corea del norte
La Agencia de Inteligencia Nacional de Corea del Sur informó que hackers norcoreanos infiltraron al menos dos compañías surcoreanas de equipos para microchips, sustrayendo diseños de productos y fotos de instalaciones. Utilizando técnicas de ataque que aprovechan herramientas ya presentes en los sistemas objetivo, estos ataques son difíciles de detectar. Se cree que Corea del Norte busca desarrollar su propia industria de semiconductores ante las dificultades para adquirirlos debido a sanciones internacionales. Este espionaje cibernético se enmarca en un contexto de tensiones continuas, incluyendo posibles provocaciones norcoreanas en diversas formas. Corea del Sur, cuya industria de semiconductores es crucial para su economía, planea expandir significativamente su capacidad de producción en este sector.
Nuevo troyano bancario chavecloak se dirige a usuarios brasileños a través de pdf maliciosos
El troyano bancario CHAVECLOAK, descubierto por FortiGuard Labs, está atacando a usuarios de la banca en Brasil mediante PDFs maliciosos, descargas ZIP y técnicas de DLL sideloading, dirigidos a través de SMiShing, correos electrónicos de phishing y sitios web comprometidos. Este malware de alta severidad, que afecta dispositivos Windows, está diseñado para robar credenciales bancarias e información financiera de usuarios desprevenidos, aprovechando configuraciones en portugués y pop-ups engañosos. CHAVECLOAK se disemina mediante un PDF que pretende contener documentos de contrato, llevando a una descarga maliciosa que permite el robo de datos a través de técnicas de DLL sideloading con un archivo DLL llamado "Lightshot.dll". Este malware monitorea la actividad de las víctimas en portales financieros, incluso en la mayor bolsa de moneda digital de Brasil, Mercado Bitcoin, y comunica la información robada a un servidor C2, característica que resalta entre otros troyanos bancarios modernos.
Snake, un nuevo ladrón de información se propaga a través de mensajes de facebook
Actores de amenazas están diseminando un Info Stealer basado en Python, llamado Snake, mediante mensajes de Facebook, de acuerdo a lo alertado por investigadores de Cybereason. Desde agosto de 2023, esta campaña utiliza archivos comprimidos en RAR o ZIP enviados a través de mensajes directos, engañando a las víctimas para que descarguen variantes del malware. Una vez infectado el sistema, Snake extrae credenciales y las transmite a plataformas como Discord, GitHub y Telegram, aprovechando sus APIs. Este infostealer puede recopilar datos de varios navegadores y, específicamente, información de cookies de Facebook, indicando un enfoque en la toma de control de cuentas de Facebook para ampliar la infección. Los investigadores asocian esta campaña con individuos de habla vietnamita, basándose en indicadores como comentarios en los scripts y la elección del navegador Coc Coc, popular en la comunidad vietnamita, sugiriendo un interés específico en este grupo.
Se crea un gusano autopropagador dirigido a los sistemas de ia generativa
Investigadores han creado "Morris II", un gusano informático dirigido a aplicaciones de inteligencia artificial generativa (GenAI) capaz de propagar malware y robar datos personales, explotando autorreplicación adversaria en sistemas GenAI. Este gusano se almacena en aplicaciones RAG (generación aumentada por recuperación), propagándose pasivamente sin acciones adicionales de los atacantes, denominada propagación "zero-click". El estudio, realizado por expertos de Israel Institute of Technology, Intuit y Cornell Tech, subraya los riesgos en aplicaciones GenAI y enfatiza la necesidad de considerar estos peligros en el diseño de ecosistemas GenAI. Los investigadores demostraron su eficacia en asistentes de correo electrónicos GenAI para acciones maliciosas como spam y extracción de datos personales, instando a desarrollar contramedidas para prevenir la replicación y propagación adversaria de este tipo de amenazas.
Las actualizaciones de seguridad de emergencia de apple corrigen dos nuevos zero-days de ios
Apple ha lanzado actualizaciones de seguridad de emergencia para corregir dos nuevas vulnerabilidades de día cero en iOS, identificadas como CVE-2024-23225 y CVE-2024-23296, que estaban siendo explotadas activamente contra usuarios de iPhone. La CVE-2024-23225, un fallo de corrupción de memoria en el Kernel, y la CVE-2024-23296, un fallo de corrupción de memoria en RTKit, fueron abordadas mediante mejoras en la validación. Ambas vulnerabilidades permitían a un atacante con capacidad de lectura y escritura arbitraria en el kernel eludir las protecciones de memoria del mismo. Afectando a dispositivos desde el iPhone XS y versiones posteriores, así como a varios modelos de iPad, Apple solucionó estas vulnerabilidades con el lanzamiento de las versiones iOS 17.4 e iPadOS 17.4, además de actualizaciones para versiones anteriores. Estas vulnerabilidades suelen ser explotadas por proveedores de spyware comercial o actores estatales, a menudo apuntando a disidentes y periodistas.
Qnap advierte de un fallo crítico de autenticación en sus dispositivos nas
QNAP alerta sobre vulnerabilidades en sus productos de software NAS, como QTS, QuTS hero, QuTScloud y myQNAPcloud, que podrían permitir a los atacantes acceder a los dispositivos. Se han divulgado tres fallos: uno permite eludir la autenticación de manera remota y sin autenticación previa, mientras que los otros dos, de inyección de comandos y SQL, requieren autenticación, reduciendo el riesgo. Afectan a varias versiones de los sistemas operativos de QNAP, instando a los usuarios a actualizar a las versiones recientes que resuelven estas vulnerabilidades. Los dispositivos NAS, que suelen almacenar datos valiosos, son objetivos habituales para el robo de datos y la extorsión, destacando la importancia de mantener el software actualizado y evitar exponer estos dispositivos en internet.
Un ataque de phishing mitm puede permitir a los atacantes desbloquear y robar un tesla
El ataque explota una técnica clásica de intermediario (MiTM), utilizando un punto de acceso WiFi falso para obtener las credenciales de las cuentas de Tesla, lo que posibilita a los atacantes desbloquear y arrancar los vehículos. La principal vulnerabilidad, identificada en la última versión de la aplicación de Tesla y su software vehicular, reside en el proceso de registro de un nuevo "Phone Key". Este proceso carece de medidas de seguridad robustas en la autenticación, permitiendo que los atacantes registren sus dispositivos como llaves de acceso sin notificar al dueño del vehículo. Aunque el ataque se demostró con un dispositivo Flipper Zero, podría replicarse con otros dispositivos como computadoras o Raspberry Pi. Los investigadores destacan la necesidad de incluir una capa adicional de autenticación, como la verificación mediante una Tarjeta Key física de Tesla, para fortalecer la seguridad y prevenir el acceso no autorizado.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 11 de marzo al 17 de marzo de 2024:
Objetivos observados durante semana de análisis:
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Renuncia de Responsabilidad:
Utilice esta información bajo su propia responsabilidad! El Centro de Ciberinteligencia de Entel no se hace responsable por el uso indebido o pruebas de conceptos no controladas por parte del lector.