ENTEL Weekly Threat Intelligence Brief del 04 al 10 de marzo de 2024

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Ransomware blackcat apaga los servidores en medio de la afirmación de que robaron 22 millones de dólares de rescate
• Se aprovechan los fallos de screenconnect para lanzar el nuevo malware toddleshark
• CISA añade un fallo del servicio de streaming de microsoft a su catálogo de vulnerabilidades explotadas conocidas
• Corea del sur afirma que la industria de semiconductores es objetivo de ciberespías de Corea del norte
• Nuevo troyano bancario chavecloak se dirige a usuarios brasileños a través de pdf maliciosos
• Tazama: gestión del fraude en tiempo real de código abierto
• Snake, un nuevo ladrón de información se propaga a través de mensajes de facebook
• Se crea un gusano autopropagador dirigido a los sistemas de ia generativa
• Las actualizaciones de seguridad de emergencia de apple corrigen dos nuevos zero-days de ios
• Qnap advierte de un fallo crítico de autenticación en sus dispositivos nas
• Un ataque de phishing mitm puede permitir a los atacantes desbloquear y robar un tesla

Ransomware blackcat apaga los servidores en medio de la afirmación de que robaron 22 millones de dólares de rescate

La banda de ransomware ALPHV/BlackCat ha cesado operaciones, cerrando sus servidores tras acusaciones de estafar $22 millones a un afiliado en el ataque a Optum, gestor de Change Healthcare. BleepingComputer reportó la baja de sus plataformas de negociación, sugiriendo un desmantelamiento intencionado de su infraestructura. La incertidumbre rodea si esto constituye una estafa de salida o un intento de renovación bajo otro nombre. La situación se complica con el reclamo de un afiliado de haber sido defraudado tras el pago del rescate por Optum. Aún posee 4TB de datos sensibles de Optum, lo que intensifica la amenaza. Optum, enfocado en la investigación, no ha emitido comentarios adicionales. Este evento podría indicar una estafa de salida, donde los operadores desaparecen tras robar criptomonedas de sus afiliados, patrón previamente observado en la evolución de DarkSide a BlackMatter y finalmente ALPHV/BlackCat.

Se aprovechan los fallos de screenconnect para lanzar el nuevo malware toddleshark

El grupo norcoreano de hackers Kimsuky está explotando vulnerabilidades en ScreenConnect, específicamente CVE-2024-1708 y CVE-2024-1709, para distribuir un nuevo malware llamado ToddlerShark, enfocado en espionaje y recolección de inteligencia a largo plazo. Tras la divulgación de estas fallas el 20 de febrero de 2024, y la posterior liberación de exploits públicos, Kimsuky ha comenzado a atacar utilizando técnicas que minimizan su rastro, como el uso de binarios legítimos de Microsoft y modificaciones en el registro para bajar las defensas de seguridad. ToddlerShark establece acceso persistente y procede al robo continuo de datos. Se cree que ToddlerShark es una variante de los backdoors BabyShark y ReconShark de Kimsuky, previamente utilizados contra organizaciones gubernamentales y centros de investigación. Utiliza técnicas de polimorfismo para evadir detecciones, haciendo su análisis más complejo.
 

CISA añade un fallo del servicio de streaming de microsoft a su catálogo de vulnerabilidades explotadas conocidas

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha incorporado la vulnerabilidad CVE-2023-29360 de Microsoft Streaming Service, con una puntuación CVSS de 8.4, a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) debido a su gravedad y explotación activa. Esta vulnerabilidad de desreferenciación de puntero no confiable permite a un atacante obtener privilegios de SYSTEM. La existencia de códigos de prueba de concepto ha facilitado su incorporación en las cadenas de ataque de múltiples actores maliciosos. Los análisis revelaron su uso por parte de Raspberry Robin antes de octubre de 2023, con divulgación pública en junio y explotación en agosto.

• hxxps://github.com/Nero22k/cve-2023-29360

Corea del sur afirma que la industria de semiconductores es objetivo de ciberespías de Corea del norte

La Agencia de Inteligencia Nacional de Corea del Sur informó que hackers norcoreanos infiltraron al menos dos compañías surcoreanas de equipos para microchips, sustrayendo diseños de productos y fotos de instalaciones. Utilizando técnicas de ataque que aprovechan herramientas ya presentes en los sistemas objetivo, estos ataques son difíciles de detectar. Se cree que Corea del Norte busca desarrollar su propia industria de semiconductores ante las dificultades para adquirirlos debido a sanciones internacionales. Este espionaje cibernético se enmarca en un contexto de tensiones continuas, incluyendo posibles provocaciones norcoreanas en diversas formas. Corea del Sur, cuya industria de semiconductores es crucial para su economía, planea expandir significativamente su capacidad de producción en este sector.

Nuevo troyano bancario chavecloak se dirige a usuarios brasileños a través de pdf maliciosos

El troyano bancario CHAVECLOAK, descubierto por FortiGuard Labs, está atacando a usuarios de la banca en Brasil mediante PDFs maliciosos, descargas ZIP y técnicas de DLL sideloading, dirigidos a través de SMiShing, correos electrónicos de phishing y sitios web comprometidos. Este malware de alta severidad, que afecta dispositivos Windows, está diseñado para robar credenciales bancarias e información financiera de usuarios desprevenidos, aprovechando configuraciones en portugués y pop-ups engañosos. CHAVECLOAK se disemina mediante un PDF que pretende contener documentos de contrato, llevando a una descarga maliciosa que permite el robo de datos a través de técnicas de DLL sideloading con un archivo DLL llamado "Lightshot.dll". Este malware monitorea la actividad de las víctimas en portales financieros, incluso en la mayor bolsa de moneda digital de Brasil, Mercado Bitcoin, y comunica la información robada a un servidor C2, característica que resalta entre otros troyanos bancarios modernos.
 

Snake, un nuevo ladrón de información se propaga a través de mensajes de facebook

Actores de amenazas están diseminando un Info Stealer basado en Python, llamado Snake, mediante mensajes de Facebook, de acuerdo a lo alertado por  investigadores de Cybereason. Desde agosto de 2023, esta campaña utiliza archivos comprimidos en RAR o ZIP enviados a través de mensajes directos, engañando a las víctimas para que descarguen variantes del malware. Una vez infectado el sistema, Snake extrae credenciales y las transmite a plataformas como Discord, GitHub y Telegram, aprovechando sus APIs. Este infostealer puede recopilar datos de varios navegadores y, específicamente, información de cookies de Facebook, indicando un enfoque en la toma de control de cuentas de Facebook para ampliar la infección. Los investigadores asocian esta campaña con individuos de habla vietnamita, basándose en indicadores como comentarios en los scripts y la elección del navegador Coc Coc, popular en la comunidad vietnamita, sugiriendo un interés específico en este grupo.

Se crea un gusano autopropagador dirigido a los sistemas de ia generativa

Investigadores han creado "Morris II", un gusano informático dirigido a aplicaciones de inteligencia artificial generativa (GenAI) capaz de propagar malware y robar datos personales, explotando autorreplicación adversaria en sistemas GenAI. Este gusano se almacena en aplicaciones RAG (generación aumentada por recuperación), propagándose pasivamente sin acciones adicionales de los atacantes, denominada propagación "zero-click". El estudio, realizado por expertos de Israel Institute of Technology, Intuit y Cornell Tech, subraya los riesgos en aplicaciones GenAI y enfatiza la necesidad de considerar estos peligros en el diseño de ecosistemas GenAI. Los investigadores demostraron su eficacia en asistentes de correo electrónicos GenAI para acciones maliciosas como spam y extracción de datos personales, instando a desarrollar contramedidas para prevenir la replicación y propagación adversaria de este tipo de amenazas.

• hxxps://github.com/StavC/ComPromptMized

Las actualizaciones de seguridad de emergencia de apple corrigen dos nuevos zero-days de ios

Apple ha lanzado actualizaciones de seguridad de emergencia para corregir dos nuevas vulnerabilidades de día cero en iOS, identificadas como CVE-2024-23225 y CVE-2024-23296, que estaban siendo explotadas activamente contra usuarios de iPhone. La CVE-2024-23225, un fallo de corrupción de memoria en el Kernel, y la CVE-2024-23296, un fallo de corrupción de memoria en RTKit, fueron abordadas mediante mejoras en la validación. Ambas vulnerabilidades permitían a un atacante con capacidad de lectura y escritura arbitraria en el kernel eludir las protecciones de memoria del mismo. Afectando a dispositivos desde el iPhone XS y versiones posteriores, así como a varios modelos de iPad, Apple solucionó estas vulnerabilidades con el lanzamiento de las versiones iOS 17.4 e iPadOS 17.4, además de actualizaciones para versiones anteriores. Estas vulnerabilidades suelen ser explotadas por proveedores de spyware comercial o actores estatales, a menudo apuntando a disidentes y periodistas.
 

Qnap advierte de un fallo crítico de autenticación en sus dispositivos nas

QNAP alerta sobre vulnerabilidades en sus productos de software NAS, como QTS, QuTS hero, QuTScloud y myQNAPcloud, que podrían permitir a los atacantes acceder a los dispositivos. Se han divulgado tres fallos: uno permite eludir la autenticación de manera remota y sin autenticación previa, mientras que los otros dos, de inyección de comandos y SQL, requieren autenticación, reduciendo el riesgo. Afectan a varias versiones de los sistemas operativos de QNAP, instando a los usuarios a actualizar a las versiones recientes que resuelven estas vulnerabilidades. Los dispositivos NAS, que suelen almacenar datos valiosos, son objetivos habituales para el robo de datos y la extorsión, destacando la importancia de mantener el software actualizado y evitar exponer estos dispositivos en internet.
 

Un ataque de phishing mitm puede permitir a los atacantes desbloquear y robar un tesla

El ataque explota una técnica clásica de intermediario (MiTM), utilizando un punto de acceso WiFi falso para obtener las credenciales de las cuentas de Tesla, lo que posibilita a los atacantes desbloquear y arrancar los vehículos. La principal vulnerabilidad, identificada en la última versión de la aplicación de Tesla y su software vehicular, reside en el proceso de registro de un nuevo "Phone Key". Este proceso carece de medidas de seguridad robustas en la autenticación, permitiendo que los atacantes registren sus dispositivos como llaves de acceso sin notificar al dueño del vehículo. Aunque el ataque se demostró con un dispositivo Flipper Zero, podría replicarse con otros dispositivos como computadoras o Raspberry Pi. Los investigadores destacan la necesidad de incluir una capa adicional de autenticación, como la verificación mediante una Tarjeta Key física de Tesla, para fortalecer la seguridad y prevenir el acceso no autorizado.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 11 de marzo al 17 de marzo de 2024:

Objetivos observados durante semana de análisis: 

• Servicios legales y profesionales
• Defensa y orden público
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Banca y Finanzas
• Educación
• Entretenimiento, cultura y arte
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia
• Turismo, hoteles y restaurantes
• Construcción e inmobiliaria
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Agricultura, ganadería, silvicultura y pesca - consumo

• Banca y Finanzas
• Servicios de salud, sociales y farmacia

• Entretenimiento, cultura y arte
• Infraestructura tecnológica
• Construcción e inmobiliaria
• Servicios empresariales y comercio
• Transportes y servicios automotrices.

• Servicios legales y profesionales
• Defensa y orden público
• Retail y servicios de consumo

• Industrias manufactureras, materiales y minería
• Educación
• Turismo, hoteles y restaurantes
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Shipment y cadena de suministros
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.