ENTEL Weekly Threat Intelligence Brief del 22 al 28 de abril de 2024

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• UnitedHealth Group paga rescate para proteger datos corporativos y de pacientes robados en ataque de Ransomware a Optum
• Grupo APT Sandworm ataca infraestructura crítica de Ucrania afectando servicios de energía y agua
• Ciberactores Rusos de APT28 explotan falla de Windows Print Spooler para robar datos confidenciales
• Amenazas de malware en repositorios de GitLab y GitHub simulan repositorios oficiales de Microsoft
• CoralRaider utiliza caché de CDN para almacenar y distribuir malware en ataques globales
• Brokewell, Nuevo Troyano Bancario para Android se disfraza de actualización de Google Chrome
• Campaña "Dev Popper" engaña a desarrolladores para instalar Troyano de Acceso Remoto (RAT)
• Exploit publicado para vulnerabilidad crítica en Progress Flowmon
• Vulnerabilidad crítica en WP Automatic permite creación de cuentas administrativas en WordPress
• CrushFTP insta a actualizar sistemas por vulnerabilidad crítica que afecta a más de 1.400 servidores
• Vulnerabilidad crítica en PAN-OS, Palo Alto Networks ofrece guía para CVE-2024-3400
• Cisco y Okta alertan sobre el incremento en ataques de fuerza bruta y relleno de credenciales
  
   

UnitedHealth Group paga rescate para proteger datos corporativos y de pacientes robados en ataque de Ransomware a Optum

UnitedHealth Group una empresa de bienestar y salud médica de EE.UU, confirmó haber pagado un rescate a los ciberdelincuentes para proteger datos confidenciales robados durante el ataque de ransomware a Optum a finales de febrero. El ataque afectó el pago de Change Healthcare, interrumpiendo servicios críticos para proveedores de atención médica y farmacias en Estados Unidos, como procesamiento de pagos, prescripción de medicamentos y reclamaciones de seguros. El daño económico se estimó en 872 millones de dólares. La banda de ransomware BlackCat/ALPHV reivindicó el ataque, alegando haber robado 6 TB de datos de pacientes y recibir un rescate de 22 millones de dólares. Sin embargo, un afiliado de la banda conocido como "Notchy" afirmó que BlackCat lo engañó con el pago del rescate. La transacción de rescate fue rastreada a una billetera de Bitcoin usada por BlackCat. Una semana después, el gobierno de EE. UU. inició una investigación para determinar si se habían robado datos de salud.

Grupo APT Sandworm ataca infraestructura crítica de Ucrania afectando servicios de energía y agua

El grupo de ciberactores ruso denominado Sandworm, también conocido como BlackEnergy, Seashell Blizzard, Voodoo Bear y APT44, buscaba interrumpir operaciones en aproximadamente 20 instalaciones de infraestructura crítica en Ucrania, según el Equipo Ucraniano de Respuesta a Emergencias Informáticas (CERT-UA). Estos ciberactores están asociados con la Dirección Principal del Estado Mayor General de las Fuerzas Armadas de Rusia (GRU) y realizan ciberespionaje y ataques destructivos. En marzo de 2024, APT44 atacó sistemas de información y comunicación de proveedores de energía, agua y calefacción en 10 regiones ucranianas, infiltrándose mediante envenenamiento de la cadena de suministro o acceso de proveedores para mantenimiento técnico. Sandworm combinó malware conocido con nuevas herramientas maliciosas como BIASBOAT y LOADGRIP para obtener acceso y moverse lateralmente en la red comprometida.

Ciberactores Rusos de APT28 explotan falla de Windows Print Spooler para robar datos confidenciales

Microsoft advierte que el grupo de amenazas ruso APT28 está explotando una vulnerabilidad en el Windows Print Spooler para escalar privilegios y robar datos utilizando una herramienta llamada GooseEgg. La vulnerabilidad CVE-2022-38028 fue solucionada por Microsoft en el martes del parche de octubre de 2022, aunque APT28 ha estado explotándola desde al menos junio de 2020. El grupo de ciberactores, que forma parte de la Unidad Militar 26165 del GRU ruso, usa GooseEgg para desplegar cargas útiles adicionales y ejecutar comandos con privilegios de sistema. Los atacantes implementan scripts por lotes para iniciar el ejecutable GooseEgg, ganar persistencia y ejecutar otros scripts para lanzar cargas útiles maliciosas. GooseEgg también puede colocar archivos DLL maliciosos en el contexto del servicio Print Spooler, permitiendo a los atacantes moverse lateralmente, instalar puertas traseras y ejecutar código remoto con permisos de sistema.

Amenazas de malware en repositorios de GitLab y GitHub simulan repositorios oficiales de Microsoft

Los actores de amenazas están explotando una falla o posible decisión de diseño en GitHub para distribuir malware utilizando URL asociadas con repositorios de Microsoft, creando la apariencia de que estos archivos son confiables. Ahora, se ha descubierto que GitLab también es vulnerable a este problema, permitiendo que se abuse de manera similar para distribuir malware. El defecto permite a los atacantes crear URL que parecen provenir de repositorios de Microsoft o GitLab, engañando a los usuarios para que descarguen archivos maliciosos. Los atacantes incluso han utilizado los comentarios de GitLab para distribuir malware, haciendo que parezca alojado en repositorios oficiales de organizaciones conocidas. Un ejemplo son las URL con el nombre de Microsoft, pero los archivos ZIP allí alojados eran, de hecho, malware cargado en la CDN de GitHub. La investigación realizada reveló que estos archivos no estaban realmente en los repositorios oficiales, sino que fueron cargados por actores maliciosos mediante el uso malicioso de las funciones de comentarios de GitHub.

CoralRaider utiliza caché de CDN para almacenar y distribuir malware en ataques globales

Un actor de amenazas conocido como CoralRaider está utilizando la caché de una red de entrega de contenido para almacenar malware de robo de información en una campaña dirigida a sistemas en Estados Unidos, Reino Unido, Alemania y Japón. Los investigadores creen que CoralRaider tiene motivación financiera y se enfoca en robar credenciales, datos financieros y cuentas de redes sociales. El grupo entrega ladrones de información como LummaC2, Rhadamanthys y Cryptbot, disponibles en foros clandestinos como parte de plataformas de malware como servicio a través de tarifas de suscripción. Cisco Talos evalúa con confianza moderada que esta campaña está relacionada con CoralRaider debido a similitudes en tácticas, técnicas y procedimientos (TTP) con ataques anteriores atribuidos al actor. Las pistas incluyen vectores de ataque iniciales, uso de scripts intermedios de PowerShell para descifrado y entrega de cargas útiles, y métodos específicos para eludir controles de acceso de usuarios (UAC) en las máquinas de las víctimas.

Brokewell, Nuevo Troyano Bancario para Android se disfraza de actualización de Google Chrome

Un nuevo troyano bancario para Android llamado Brokewell puede capturar eventos en el dispositivo, desde toques y texto ingresado hasta las aplicaciones que el usuario inicia y la información mostrada en pantalla. El malware se distribuye mediante una actualización falsa de Google Chrome que se muestra al usar el navegador web. Brokewell está en desarrollo activo y combina amplias capacidades de control remoto y adquisición de dispositivos. Fue descubierto por investigadores al analizar una página de actualización falsa de Chrome que descargaba una carga útil. Este método de distribución es común para engañar a usuarios desprevenidos y hacer que instalen malware en sus dispositivos Android.

Campaña "Dev Popper" engaña a desarrolladores para instalar Troyano de Acceso Remoto (RAT)

La campaña "Dev Popper" tiene como objetivo engañar a desarrolladores de software con entrevistas de trabajo falsas para que instalen un troyano de acceso remoto (RAT) de Python. Los atacantes solicitan a los desarrolladores que realicen tareas relacionadas con la entrevista, como descargar y ejecutar código de GitHub, para hacer que el proceso parezca legítimo. El verdadero objetivo es que los desarrolladores instalen software malicioso que recopile información del sistema y permita acceso remoto al host. Analistas de Securonix indican que esta campaña podría ser obra de actores de amenazas norcoreanos, pero las conexiones no son lo suficientemente fuertes para atribuirlas con certeza.

Exploit publicado para vulnerabilidad crítica en Progress Flowmon

Se ha publicado un código de prueba de concepto para una vulnerabilidad de máxima gravedad en Progress Flowmon, una herramienta de monitoreo de rendimiento y visibilidad de la red utilizada por más de 1.500 empresas, incluidas SEGA, KIA, TDK, Volkswagen y Orange. La vulnerabilidad, con una puntuación de 10/10 en gravedad, permite a un atacante utilizar una solicitud API especialmente diseñada para obtener acceso remoto y no autenticado a la interfaz web de Flowmon, ejecutando comandos arbitrarios del sistema. El problema se identifica como CVE-2024-2389 y fue descubierto por Rhino Security Labs. Progress Software, el desarrollador de Flowmon, alertó sobre la falla el 4 de abril, advirtiendo que afecta las versiones v12.x y v11.x, y recomendó actualizar a las últimas versiones (v12.3.5 y v11.1.14). Las actualizaciones de seguridad están disponibles para todos los clientes de Flowmon, tanto automáticamente como manualmente desde el centro de descargas de Progress.

Vulnerabilidad crítica en WP Automatic permite creación de cuentas administrativas en WordPress

Ciberactores están explotando una vulnerabilidad crítica en el complemento WP Automatic para WordPress, permitiendo la creación de cuentas de usuario con privilegios administrativos y la colocación de puertas traseras para acceso a largo plazo. WP Automatic, instalado en más de 30.000 sitios web, automatiza la importación de contenido y publicación en sitios de WordPress. La vulnerabilidad, identificada como CVE-2024-27956, recibió una puntuación de gravedad de 9,9/10 y fue divulgada por PatchStack el 13 de marzo. El problema es un defecto de inyección SQL en el mecanismo de autenticación, que permite a los atacantes crear cuentas de administrador mediante consultas SQL especialmente diseñadas. Desde la divulgación, se han registrado más de 5,5 millones de intentos de ataque, especialmente el 31 de marzo. Tras obtener acceso de administrador, los atacantes suelen crear puertas traseras y ofuscar el código para ocultar sus acciones.

CrushFTP insta a actualizar sistemas por vulnerabilidad crítica que afecta a más de 1.400 servidores

Más de 1.400 servidores CrushFTP expuestos en línea son vulnerables a ataques dirigidos a una vulnerabilidad de inyección de plantilla del lado del servidor (SSTI) de gravedad crítica previamente explotada como día cero. La vulnerabilidad, identificada como CVE-2024-4040, se describe como un escape del sistema de archivos virtual (VFS) en el software de transferencia de archivos administrados CrushFTP, permitiendo la lectura de archivos arbitrarios. Sin embargo, los atacantes no autenticados pueden usarla para obtener ejecución remota de código (RCE) en sistemas sin parches. Rapid7 confirmó la gravedad de la falla, señalando que es "totalmente no autenticada y trivialmente explotable", permitiendo la lectura de archivos arbitrarios como root y la ejecución remota de código.

Vulnerabilidad crítica en PAN-OS, Palo Alto Networks ofrece guía para CVE-2024-3400

Palo Alto Networks ha publicado una guía para resolver una vulnerabilidad crítica en PAN-OS, que ha sido explotada activamente. La vulnerabilidad, identificada como CVE-2024-3400 y con un puntaje CVSS de 10.0, permite la ejecución remota de comandos de shell no autenticados en dispositivos afectados. La solución ya está disponible para varias versiones de PAN-OS 10.2.x, 11.0.x y 11.1.x. La evidencia indica que esta vulnerabilidad ha sido explotada como día cero desde al menos el 26 de marzo de 2024 por el grupo de amenazas UTA0218. La actividad, denominada Operación MidnightEclipse, implica el uso de la falla para eliminar una puerta trasera basada en Python llamada UPSTYLE, que puede ejecutar comandos a través de solicitudes especialmente diseñadas. Aunque las intrusiones no se han atribuido a ningún actor específico, se sospecha que se trata de un equipo de actores de amenaza respaldado por el estado, debido a las técnicas y victimología observadas.

Cisco y Okta alertan sobre el incremento en ataques de fuerza bruta y relleno de credenciales

En el ámbito de la ciberseguridad, Okta , un reconocido proveedor de servicios de gestión de identidad y acceso (IAM), alertó sobre un notable incremento en la "frecuencia y escala" de ataques de relleno de credenciales dirigidos a servicios en línea. Estos ataques, observados en el último mes, se han vuelto más peligrosos debido a la amplia disponibilidad de proxies residenciales, listas de credenciales previamente robadas y herramientas de secuencias de comandos automatizadas. Okta relaciona sus advertencias con un aviso reciente de Cisco, que señaló un aumento global de ataques de fuerza bruta dirigidos a varios dispositivos de red. Según Cisco, estos ataques parecen originarse desde nodos de salida TOR y otros túneles y proxies anónimos. Los dispositivos más afectados incluyen VPN de Cisco, Check Point, Fortinet y SonicWall, entre otros, además de interfaces de autenticación de aplicaciones web y servicios SSH.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 29 de abril al 05 de mayo de 2024:

Objetivos observados durante semana de análisis: 

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Defensa y orden público
• Educación
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Transportes y servicios automotrices

• Retail y servicios de consumo

• Banca y Finanzas
• Entretenimiento, cultura y arte
• Servicios básicos y sanitarios

• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.