ENTEL Weekly Threat Intelligence Brief del 25 al 31 de marzo de 2024

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• El ransomware Agenda se propaga a vCenters y ESXi a través de un script personalizado de PowerShell
• El phishing sigue siendo la principal vía de acceso inicial
• Cisco advierte de ataques de pulverización de contraseñas dirigidos a dispositivos cortafuegos seguros
• CISA emite un aviso sobre la vulnerabilidad WebAccess/SCADA: La inyección SQL amenaza los sistemas de control industrial
• Rompiendo fronteras: La infiltración de Mispadu más allá de LATAM
• El malware TheMoon infecta 6.000 routers ASUS en 72 horas por un servicio proxy
• El nuevo viaje del agente Tesla: el ascenso de un cargador de novedades
• El nuevo kit de phishing Tycoon 2FA aumenta la preocupación por la ciberseguridad
• El nuevo ataque a la memoria ZenHammer afecta a las CPU Zen de AMD
• Eliminadas de Google Play las apps que convierten en secreto los dispositivos en nodos de red proxy
• Alemania advierte de la existencia de 17.000 servidores Microsoft Exchange vulnerables expuestos en Internet
• CISA insta a los desarrolladores de software a eliminar las vulnerabilidades de inyección SQL
• Una puerta trasera SSH maliciosa se cuela en xz, la biblioteca de compresión de datos del mundo Linux
• Un error en Linux Wall ayuda a crear peticiones SUDO falsas y a robar contraseñas

El ransomware Agenda se propaga a vCenters y ESXi a través de un script personalizado de PowerShell

Desde su descubrimiento en 2022, el grupo de ransomware Agenda, también conocido como Qilin, ha estado activo y en desarrollo. Según Trend Micro, que rastrea a Agenda como Water Galura, continúa infectando víctimas a nivel mundial, con EE.UU., Argentina, Australia y Tailandia como principales objetivos. El ransomware de Agenda ha apuntado a diversas industrias, incluyendo finanzas y derecho. Las detecciones del ransomware Agenda aumentaron desde diciembre de 2023, indicando una mayor actividad o alcance de sus operadores. Se han encontrado versiones actualizadas del ransomware, especialmente de su variante en Rust, que utiliza herramientas de monitoreo remoto y gestión, así como Cobalt Strike para el despliegue del binario del ransomware. Además, puede propagarse a través de PsExec y SecureShell, y utiliza diversos controladores SYS vulnerables para evadir la detección. La capacidad de Agenda para extenderse a la infraestructura de máquinas virtuales sugiere que sus operadores están expandiendo sus objetivos, lo que requiere que las organizaciones implementen medidas de seguridad adecuadas para protegerse contra este tipo de amenazas.

El phishing sigue siendo la principal vía de acceso inicial

El phishing sigue siendo la principal vía de acceso inicial para los actores de amenazas, que en el 71% de todos los incidentes de seguridad en 2023, utilizaron enlaces o ataques de phishing, según el Informe Anual de Amenazas Cibernéticas de ReliaQuest. La mayoría de las tácticas y técnicas empleadas para lograr acceso inicial a entornos comprometidos estaban relacionadas con la interacción o error del usuario, explotando la confianza y vulnerabilidad de individuos desprevenidos. El phishing representa el 70% de todos los incidentes relacionados con el acceso inicial, manteniéndose como la ruta más común utilizada por los actores de amenazas. Los métodos de ingeniería social, como engañar a las personas para que revelen información sensible o concedan acceso a sistemas seguros, son populares porque aprovechan el comportamiento humano y la confianza como arma. Grupos notorios de ransomware, como Scattered Spider, han utilizado estas tácticas a gran escala, empleando el ransomware AlphV en algunos de sus ataques. Para combatir el phishing, ReliaQuest sugiere enfocarse en técnicas de autenticación, como la biometría y la reducción de la duración de los tokens de sesión, para mejorar la resiliencia frente al phishing y otros ataques de ingeniería social comunes.
 

Cisco advierte de ataques de pulverización de contraseñas dirigidos a dispositivos cortafuegos seguros

Cisco ha emitido una advertencia a sus clientes sobre ataques de password sprying dirigidos a los servicios de VPN de Acceso Remoto (RAVPN) configurados en los dispositivos Cisco Secure Firewall. Estos ataques no se limitan a productos de Cisco, sino que también afectan a concentradores de VPN de terceros. Los ataques de password sprying son un tipo de ataque de fuerza bruta que utiliza una contraseña común contra múltiples cuentas para evitar bloqueos de cuenta, lo que puede provocar condiciones similares a la denegación de servicio (DoS) por el bloqueo de cuentas. Cisco ha compartido indicadores de compromiso para estos ataques, incluida la incapacidad para establecer conexiones VPN con Cisco Secure Client (AnyConnect) cuando está habilitado el Firewall Posture (HostScan) y un número inusual de solicitudes de autenticación. Para defenderse contra estos ataques, Cisco recomienda habilitar el registro en un servidor syslog remoto, asegurar los perfiles de conexión de VPN de acceso remoto predeterminados, utilizar TCP shun para bloquear IP maliciosas, configurar ACL de plano de control en ASA/FTD para filtrar direcciones IP públicas no autorizadas y utilizar autenticación basada en certificados para RAVPN, lo que proporciona una seguridad más robusta que el uso de credenciales.
 

CISA emite un aviso sobre la vulnerabilidad WebAccess/SCADA: La inyección SQL amenaza los sistemas de control industrial

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha emitido un aviso sobre una vulnerabilidad en WebAccess/SCADA que permite a los atacantes leer o modificar bases de datos remotas mediante inyección SQL, comprometiendo la integridad del sistema y la privacidad de los datos. La vulnerabilidad, identificada en la versión 9.1.5U del software SCADA basado en navegador de Advantech, utilizado en sectores de infraestructura crítica, permite la ejecución de comandos SQL no autorizados a través de entradas controlables por el usuario. CISA recomienda actualizar a la versión 9.1.6 o superior y aplicar medidas defensivas como limitar la exposición de la red, emplear segmentación de red y utilizar métodos de acceso remoto seguros como VPNs. Se insta a las organizaciones a realizar análisis de impacto y evaluaciones de riesgo antes de implementar estas medidas y a reportar actividades sospechosas a CISA.

Rompiendo fronteras: La infiltración de Mispadu más allá de LATAM

Morphisec Labs ha identificado un aumento significativo en la actividad de Mispadu, un troyano bancario también conocido como URSA, que inicialmente se centraba en países LATAM y hablantes de español. Recientemente, ha ampliado su alcance a regiones europeas, afectando a diversas industrias. A pesar de su expansión geográfica, México sigue siendo el principal objetivo, con miles de credenciales robadas desde abril de 2023. Mispadu utiliza estas credenciales para orquestar correos electrónicos de phishing maliciosos. La cadena de ataque implica múltiples etapas, comenzando con un correo de phishing que lleva a la descarga de un archivo ZIP, que contiene un script de VB o un instalador MSI, llevando a la ejecución del payload de Mispadu. Este troyano utiliza herramientas legítimas y monitorea aplicaciones en busca de credenciales, enfocándose en bancos, intercambios de criptomonedas y aplicaciones financieras.
 

El malware TheMoon infecta 6.000 routers ASUS en 72 horas por un servicio proxy

Una nueva variante del malware "TheMoon" ha infectado 6,000 routers ASUS en 72 horas, usándolos como nodos proxy para anonimizar actividades maliciosas. Investigadores de Black Lotus Labs observaron esta campaña en 88 países, señalando que malwares como IcedID y SolarMarker utilizan esta red botnet. Aunque TheMoon inicialmente apuntaba a dispositivos LinkSys en 2014, ahora se enfoca en routers ASUS, explotando posiblemente vulnerabilidades conocidas o utilizando fuerza bruta en contraseñas. La red proxy "Faceless", asociada a TheMoon, facilita el tráfico anónimo para cibercriminales, comunicando cada dispositivo infectado solo con un servidor mientras dure la infección.

El nuevo viaje del agente Tesla: el ascenso de un cargador de novedades

Un nuevo cargador identificado en un correo de phishing activa una cadena de infección que culmina con la implementación de Agent Tesla, un infostealer. Desarrollado con técnicas avanzadas para evadir la detección, como el uso de proxy y la ofuscación de código, este cargador destaca por su comportamiento polimórfico y su habilidad para eludir defensas antivirus, operando completamente en memoria para capturar y exfiltrar datos discretamente. Este análisis subraya la sofisticación creciente en la ejecución de malware y la importancia de mantenerse vigilante frente a las tácticas emergentes de los actores de amenazas.

El nuevo kit de phishing Tycoon 2FA aumenta la preocupación por la ciberseguridad

El kit de phishing Tycoon 2FA, descubierto por el equipo de Sekoia en octubre de 2023, ha generado preocupaciones en la comunidad de ciberseguridad por su uso del método Adversary-in-The-Middle (AiTM) en ataques extensos y efectivos. Activo desde agosto de 2023, Tycoon 2FA ha sido uno de los kits AiTM más prevalentes, con más de 1,100 dominios detectados hasta febrero de 2024. Una nueva versión identificada en febrero de 2024 mejora sus capacidades de phishing, incluyendo cambios significativos en sus códigos JavaScript y HTML. Sekoia advierte sobre su lucrativa operación y su permanencia como una amenaza destacada en el mercado de phishing AiTM para 2024.

El nuevo ataque a la memoria ZenHammer afecta a las CPU Zen de AMD

Investigadores de la ETH Zurich desarrollaron ZenHammer, una variante del ataque Rowhammer dirigida a CPUs AMD Zen, que desafía la creencia de menor vulnerabilidad de estos chips y módulos DDR5 RAM. ZenHammer logra inducir cambios de bit en dispositivos DDR4 en plataformas AMD Zen 2 y Zen 3, y también en chips DDR5 en Zen 4, aunque con menor éxito. El ataque requiere de una comprensión profunda de los componentes de software y hardware para su ejecución exitosa. AMD ha respondido con un boletín de seguridad, ofreciendo consejos de mitigación y actualizaciones.

Eliminadas de Google Play las apps que convierten en secreto los dispositivos en nodos de red proxy

Investigadores de HUMAN Security descubrieron aplicaciones en Google Play que convertían dispositivos en nodos de red proxy sin consentimiento del usuario, usadas para fraudes publicitarios. Estas apps formaban parte de una red proxy residencial más amplia, potencialmente administrada por el mismo actor de amenazas. Las redes proxy residenciales pueden ser usadas para ocultar actividades maliciosas y son a menudo opacas, con proveedores que no verifican la identidad del cliente. Se aconseja precaución al descargar apps y evitar software gratuito que pueda incluir proxyware.

Alemania advierte de la existencia de 17.000 servidores Microsoft Exchange vulnerables expuestos en Internet

La autoridad alemana de ciberseguridad alertó sobre al menos 17,000 servidores Microsoft Exchange en Alemania expuestos en línea y vulnerables a fallos de seguridad críticos. Aproximadamente el 12% de estos servidores usan versiones obsoletas de Exchange, sin actualizaciones de seguridad desde 2020 y 2023. Alrededor del 28% de los servidores Exchange 2016 o 2019 también están desactualizados y expuestos a ataques. Instituciones educativas, médicas, oficinas gubernamentales y empresas medianas están entre las afectadas. El BSI insta a actualizar los servidores y restringir el acceso a servicios basados en web para mejorar la seguridad.
 

CISA insta a los desarrolladores de software a eliminar las vulnerabilidades de inyección SQL

CISA y el FBI instan a los ejecutivos de empresas tecnológicas a revisar el software de sus organizaciones para eliminar vulnerabilidades de inyección SQL (SQLi) antes de su distribución. Los ataques SQLi permiten a los actores de amenazas ejecutar comandos no deseados y acceder o manipular datos sensibles mediante la inyección de consultas SQL maliciosas. Se recomienda el uso de consultas parametrizadas para prevenir estas vulnerabilidades, separando el código SQL de los datos del usuario. Esta medida es más efectiva que la sanitización de entradas y reduce el riesgo cibernético para los usuarios.
 

Una puerta trasera SSH maliciosa se cuela en xz, la biblioteca de compresión de datos del mundo Linux [CVE-2024-3094]

Se ha descubierto una puerta trasera en XZ Utils, utilizada en muchas distribuciones de Linux, que podría permitir a un actor malicioso comprometer la autenticación de sshd y obtener acceso no autorizado al sistema. La vulnerabilidad, CVE-2024-3094, afecta a las versiones 5.6.0 y 5.6.1 de las librerías xz. Red Hat y otras distribuciones han advertido sobre el riesgo y recomiendan actualizar o retroceder a una versión segura de XZ Utils. Kali Linux especifica que los usuarios que actualizaron entre el 26 y el 29 de marzo deben aplicar las últimas actualizaciones para mitigar el riesgo.
 

Un error en Linux Wall ayuda a crear peticiones SUDO falsas y a robar contraseñas [CVE-2024-28085]

Una vulnerabilidad de hace una década en el comando 'wall' de Linux, parte del paquete util-linux, podría permitir a un atacante sin privilegios robar contraseñas o cambiar el portapapeles del usuario. Identificada como CVE-2024-28085 y apodada WallEscape, ha estado presente en todas las versiones del paquete durante los últimos 11 años hasta la 2.40 lanzada recientemente. WallEscape explota el comando 'wall', utilizado para enviar mensajes a todos los usuarios conectados a un sistema, usando caracteres de control para crear un falso prompt de SUDO y engañar a los usuarios para que ingresen su contraseña de administrador. Se recomienda actualizar a linux-utils v2.40 para solucionar la vulnerabilidad.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 01 de abril al 07 de abril de 2024:

Objetivos observados durante semana de análisis: 

• Servicios legales y profesionales
• Defensa y orden público
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Banca y Finanzas
• Educación
• Entretenimiento, cultura y arte
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia
• Turismo, hoteles y restaurantes
• Construcción e inmobiliaria
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Agricultura, ganadería, silvicultura y pesca - consumo

• Entretenimiento, cultura y arte
• Infraestructura tecnológica
• Infraestructura tecnológica - Componentes

• Industrias manufactureras, materiales y minería
• Turismo, hoteles y restaurantes
• Construcción e inmobiliaria
• Transportes y servicios automotrices.

• Servicios legales y profesionales
• Defensa y orden público
• Educación
• Servicios de salud, sociales y farmacia
• Servicios básicos y sanitarios
• Agricultura, ganadería, silvicultura y pesca - consumo

• Retail y servicios de consumo
• Banca y Finanzas
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios empresariales y comercio
• Shipment y cadena de suministros

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.