ENTEL Weekly Threat Intelligence Brief del 08 al 14 de abril de 2024

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• El gigante óptico Hoya recibe una demanda de rescate de 10 millones de dólares
• Ciberdelincuentes apuntan a América Latina con un sofisticado esquema de phishing
• Ciberactores iraníes de MuddyWater adoptan la nueva herramienta C2 'DarkBeatC2' en su última campaña
• Página falsa de Facebook MidJourney AI promovió malware a 1,2 millones de personas
• Malware Rhadamanthys implementado por TA547 contra objetivos alemanes
• Vulnerabilidad crítica afecta a PAN-OS de Palo Alto
• Patch Tuesday Microsoft de Abril, corrige 150 vulnerabilidades
• Patch Day SAP – Abril 2024
• Nuevas vulnerabilidades afectan a Fortinet

El gigante óptico Hoya recibe una demanda de rescate de 10 millones de dólares

La empresa japonesa Hoya Corporation, conocida por su especialización en instrumentos ópticos, equipos médicos y componentes electrónicos con operaciones globales, fue recientemente víctima de un ciberataque. La operación de ransomware conocida como Hunters International se atribuyó la responsabilidad del ataque, exigiendo un rescate de 10 millones de dólares. Este rescate se solicita a cambio de un descifrador para los archivos cifrados y la promesa de no liberar los 1.7 millones de archivos que afirmaron haber robado, lo que representa aproximadamente 2 TB de datos. Este incidente afectó gravemente la producción y el procesamiento de pedidos de Hoya, con varias divisiones experimentando cortes de TI, aunque la empresa todavía estaba investigando si los atacantes habían logrado extraer información confidencial de sus sistemas.

Hunters International, que surgió a mediados de 2023 como una operación de ransomware como servicio (RaaS) y que comparte código con la anterior operación de ransomware Hive, adoptó una postura inflexible en las negociaciones, aplicando una "Política de No Negociación/No Descuento" y dejando en claro que no aceptarán ofertas inferiores a las demandadas. A pesar de las amenazas, no ha habido evidencia pública de que los archivos hayan sido liberados en su sitio, y la empresa Hoya no ha actualizado sobre el estado de su negocio desde principios de abril del año en curso.

Ciberdelincuentes apuntan a América Latina con un sofisticado esquema de phishing

Una reciente campaña de phishing se ha enfocado en la región de América Latina, donde los ciberdelincuentes han estado distribuyendo malware a través de correos electrónicos que contienen archivos adjuntos maliciosos disfrazados de facturas, donde los emails utilizan un dominio sospechoso y al abrir el archivo adjunto ZIP, se revela un HTML que redirige al usuario a un enlace fraudulento. Este enlace lleva a una página que, dependiendo de la geolocalización del usuario, muestra un mensaje de error o solicita una verificación CAPTCHA para proceder a descargar un archivo RAR malicioso. Este último contiene un script de PowerShell diseñado para recopilar información del sistema y verificar la presencia de software antivirus.

La campaña tiene similitudes con ataques anteriores dirigidos a usuarios en América Latina, conocidos como Horabot. Además, se han observado tácticas adicionales de evasión, como el uso de dominios que varían su comportamiento según el país de acceso. Los actores de amenazas también están diversificando sus métodos de ataque, incluyendo la ingeniería social a través de plataformas de redes sociales para redirigir a las víctimas hacia el malware o sitios de recolección de credenciales. 

Ciberactores iraníes de MuddyWater adoptan la nueva herramienta C2 'DarkBeatC2' en su última campaña

El grupo iraní de ciberdelincuentes conocido como MuddyWater, también referido como Boggy Serpens entre otros nombres, ha incorporado una nueva herramienta de comando y control (C2) llamada DarkBeatC2 en su arsenal de ciberataques. Esta adición sigue a herramientas previas como SimpleHarm y MuddyC3, reflejando su metodología consistente en la gestión de ataques a pesar de los cambios ocasionales en su software de administración remota. MuddyWater, que se cree está afiliado con el Ministerio de Inteligencia y Seguridad de Irán, ha estado activo desde al menos 2017, utilizando técnicas de phishing para implementar software de monitoreo y gestión remota en sistemas comprometidos, afectando principalmente a objetivos en Israel.

En su última campaña, los correos electrónicos de phishing utilizados por MuddyWater contenían enlaces o adjuntos que llevaban a la descarga del software malicioso Atera Agent a través de servicios como Egnyte. Esta campaña también mostró tácticas avanzadas, como la utilización de un subdominio que imitaba a una institución educativa israelí, lo que aumenta la apariencia de legitimidad de los correos electrónicos y engaña a los destinatarios para que hagan clic en ellos. 

Las técnicas empleadas por MuddyWater incluyen el establecimiento de persistencia en los sistemas infectados mediante tareas programadas que ejecutan código malicioso, como scripts de PowerShell que comunican con servidores C2 para descargar más cargas útiles y ejecutar comandos adicionales, subrayando la continua evolución y peligrosidad de sus operaciones de ciberespionaje.
 

Página falsa de Facebook MidJourney AI promovió malware a 1,2 millones de personas

Una reciente campaña de publicidad maliciosa en Facebook, dirigida por ciberactores que se aprovechan del creciente interés en servicios de Inteligencia Artificial, ha conseguido engañar a 1.2 millones de personas con una página falsa que se hacía pasar por la plataforma MidJourney AI. Utilizando anuncios y páginas de Facebook secuestradas, los ciberdelincuentes promocionaron servicios falsos imitando a conocidos como SORA y ChatGPT-5 de OpenAI y DALL-E, incitando a los usuarios a unirse a comunidades fraudulentas donde se distribuyen ejecutables maliciosos. Estos archivos maliciosos, disfrazados de adelantos de funciones nuevas o versiones de escritorio inexistentes, instalan malware diseñado para robar información sensible como credenciales almacenadas, datos de tarjetas de crédito y otros datos valiosos de navegadores de las víctimas.

La efectividad de esta campaña resalta no solo la vulnerabilidad de los usuarios en redes sociales sino también la sofisticación y la persistencia de los actores de amenazas. Incluso después de que la página original fuera eliminada, los ciberdelincuentes rápidamente establecieron nuevas páginas, continuando con su actividad maliciosa y acumulando cientos de miles de seguidores en poco tiempo. Los sitios clonados y los perfiles secuestrados siguen siendo una táctica común, explotando la popularidad y la aparente legitimidad de la inteligencia artificial para perpetuar fraudes y distribuir malware a través de redes sociales, lo que demuestra la necesidad de que los usuarios mantengan precaución al interactuar con anuncios y nuevas páginas.
 

Malware Rhadamanthys implementado por TA547 contra objetivos alemanes

El actor de amenazas TA547 ha orientado su foco hacia organizaciones alemanas, utilizando el malware conocido como Rhadamanthys en una estrategia notablemente sofisticada. Esta campaña, identificada por primera vez por Proofpoint, marca un hito ya que es la primera vez que se vincula a TA547 con esta forma de ataque. En un giro intrigante, los investigadores han señalado que los scripts de PowerShell empleados en estos ataques podrían haber sido generados por grandes modelos de lenguaje (LLM) como ChatGPT, debido a la naturaleza altamente específica y gramaticalmente correcta de los comentarios dentro del código. La táctica incluía correos electrónicos que se hacían pasar por comunicaciones de la empresa minorista alemana Metro, con archivos ZIP protegidos que contenían enlaces (LNK) maliciosos que, al ejecutarse, desencadenaron la carga del malware directamente en la memoria del sistema.

La utilización de LLM en la creación de malware representa una evolución en las técnicas de ciberataque, permitiendo a los actores de amenazas crear scripts más convincentes y difíciles de detectar. A pesar de esta innovación, los investigadores de Proofpoint advierten que las defensas basadas en el comportamiento siguen siendo efectivas para detectar y mitigar tales amenazas, ya que el malware generado por LLM opera de manera similar al generado manualmente. Esta observación subraya una dualidad en la ciberseguridad moderna, donde los avances en inteligencia artificial pueden tanto potenciar como combatir las actividades cibernéticas maliciosas, manteniendo efectivas las medidas de seguridad tradicionales contra los ataques sofisticados.

Vulnerabilidad crítica afecta a PAN-OS de Palo Alto

El 12 de abril Palo Alto publicó 1 aviso de seguridad que contempla 1 vulnerabilidad clasificada como Crítica. Dicha vulnerabilidad afecta a distintas versiones de PAN-OS.

CVE-2024-3400 [CVSSv4: 10.0]
Vulnerabilidad de inyección de comandos del sistema operativo en GlobalProtect Gateway

Esta es una vulnerabilidad de inyección de comandos en la función GlobalProtect del software PAN-OS de Palo Alto Networks y puede permitir que un atacante no autenticado ejecute código arbitrario con privilegios de root en firewalls vulnerables. CVE-2024-3400 tiene una puntuación de severidad de 10 alcanzando el máximo puntaje para una vulnerabilidad, por lo cual nos alerta de la gravedad de esta misma y lo importante que es efectuar todas las medidas mitigatorias posibles.

Durante el Domingo 14 de abril, Palo Alto ha informado que ya se encuentran disponibles parches para la vulnerabilidad. El parche se encuentra disponible para las versiones PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 y en todas las versiones posteriores de PAN-OS.

Palo Alto también informa que próximamente estarán disponibles los parches para otras versiones de mantenimiento implementadas comúnmente, las cuales se detallan a continuación:

• PAN-OS 10.2:
  • - 10.2.9-h1 (Released 4/14/24)
  • - 10.2.8-h3 (ETA: 4/15/24)
  • - 10.2.7-h8 (ETA: 4/15/24)
  • - 10.2.6-h3 (ETA: 4/15/24)
  • - 10.2.5-h6 (ETA: 4/16/24)
  • - 10.2.3-h13 (ETA: 4/17/24)
  • - 10.2.1-h2 (ETA: 4/17/24)
  • - 10.2.2-h5 (ETA: 4/18/24)
  • - 10.2.0-h3 (ETA: 4/18/24)
  • - 10.2.4-h16 (ETA: 4/19/24)
• PAN-OS 11.0:
  • - 11.0.4-h1 (Released 4/14/24)
  • - 11.0.3-h10 (ETA: 4/15/24)
  • - 11.0.2-h4 (ETA: 4/16/24)
  • - 11.0.1-h4 (ETA: 4/17/24)
  • - 11.0.0-h3 (ETA: 4/18/24)
• PAN-OS 11.1:
  • - 11.1.2-h3 (Released 4/14/24)
  • - 11.1.1-h1 (ETA: 4/16/24)
  • - 11.1.0-h3 (ETA: 4/17/24)

Palo alto tambien ha confirmado la explotación de este ataque por lo que es importante aplicar las medidas mitigatorias recomendadas por el fabricante o actualizar a las versiones no afectadas por esta vulnerabilidad previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización.
 

Patch Tuesday Microsoft de abril, corrige 150 vulnerabilidades

En su actualización programada para el martes de parches de abril de 2024, Microsoft informó 150 correcciones de seguridad. 

Del total de vulnerabilidades, 3 fueron catalogadas de severidad Crítica, 145 son catalogadas como Importantes y 2 como Moderadas. Adicionalmente existen 5 vulnerabilidades de Microsoft Edge (Chromium-based) que no están consideradas en este conteo. 

• Las vulnerabilidades se dan en la siguiente clasificación:
• 7 Vulnerabilidades de denegación de servicio
• 31 Vulnerabilidades de elevación de privilegios
• 13 Vulnerabilidades de divulgación de la información
• 67 Vulnerabilidades de ejecución de código remoto
• 29 Vulnerabilidades de Security Feature Bypass
• 3 Vulnerabilidades de Spoofing

Para más información visitar: 
https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1905/

Patch Day SAP – Abril 2024

SAP ha publicado 9 avisos de seguridad que contemplan 10 vulnerabilidades. De estas, 3 son clasificadas como severidad Alta y 7 de severidad Media. Dichas vulnerabilidades afectan a los siguientes productos:

• SAP Edge
• SAP NetWeaver
• SAP Business Connector
• Java SAP NetWeaver AS
• Entre otros

Para mas informacion visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1906/

Nuevas vulnerabilidades afectan a Fortinet

Fortinet ha publicado 11 avisos de seguridad que contemplan 13 vulnerabilidades. De estas, 1 es clasificada como Crítica, 6 de severidad Alta y 6 de severidad Media. Dichas vulnerabilidades afectan a los siguientes productos:

• FortiClient (Linux y Mac)
• FortiOS
• FortiProxy
• FortiSandbox
• FortiManager

Para mas informacion visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1904/

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 15 al 21 de abril de 2024:

Objetivos observados durante semana de análisis: 

• Servicios de salud, sociales y farmacia
• Servicios legales y profesionales
• Servicios empresariales y comercio
• Retail y servicios de consumo
• Infraestructura tecnológica - Componentes
• Industrias manufactureras, materiales y minería
• Transportes y servicios automotrices.
• Infraestructura tecnológica
• Banca y Finanzas
• Construcción e inmobiliaria
• Organizaciones sin fines de lucro
• Defensa y orden público
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo
• Agricultura, ganadería, silvicultura y pesca - producción
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Petróleo
• Servicios básicos y sanitarios
• Shipment y cadena de suministros

• Industrias manufactureras, materiales y minería
• Servicios legales y profesionales
• Infraestructura tecnológica
• Construcción e inmobiliaria
• Banca y Finanzas
• Transportes y servicios automotrices.
• Infraestructura tecnológica - Componentes
• Servicios de salud, sociales y farmacia
• Turismo, hoteles y restaurantes

• Retail y servicios de consumo
• Servicios empresariales y comercio
• Servicios básicos y sanitarios

• Organizaciones sin fines de lucro
• Petróleo

• Entretenimiento, cultura y arte
• Defensa y orden público
• Educación
• Shipment y cadena de suministros
• Agricultura, ganadería, silvicultura, pesca y procesamiento - producción
• Gobierno
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.