Lima, 08 de octubre de 2020 - cdn.
13
Transcript of Lima, 08 de octubre de 2020 - cdn.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 08 de octubre de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido Múltiples vulnerabilidades en switche industriales PEPPERL+FUCHS ........................................................... 3
Nueva botnet denominada HEH .................................................................................................................... 4
Nueva campaña de phishing ......................................................................................................................... 5
Piratas informáticos abusan del servicio de informe de errores de Windows (WER). ................................. 6
Malware PoetRAT ataca mediante documentos maliciosos de Microsoft Word ....................................... 7
Los usuarios informan problemas en Adobe Creative Cloud. ...................................................................... 8
La técnica de ataque sin archivos kraken abusa del informe de errores de Microsoft Windows (WER)...... 9
Detección de una nueva Botnet denominada Ttint. ...................................................................................10
Índice alfabético ..........................................................................................................................................12
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 187
Fecha: 08-10-2020
Página: 3 de 00
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Múltiples vulnerabilidades en switche industriales PEPPERL+FUCHS
Tipo de ataque Explotación de vulnerabilidades Abreviatura EVC
Medios de propagación Red e internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que especialista en ciberseguridad, han detectado múltiples vulnerabilidades en los switches industriales Series PEPPERL+FUCHS RocketLinx. La explotación de estas fallas de seguridad permitiría a los ciberdelincuentes realizar múltiples variantes de ciberataques maliciosos.
2. Detalles de la alerta:
A continuación, se presentan breves reportes de las vulnerabilidades encontradas, además de sus respectivas claves de identificación y puntajes según el Common Vulnerability Scoring System (CVSS).
CVE-2020-12500: Los dispositivos afectados se pueden administrar a través de un programa cliente de Windows llamado “Jet View”, lo que podría ser aprovechado por actores de amenazas remotos para enviar una solicitud especialmente diseñada y esquivar las restricciones de acceso en el sistema afectado. Esta es una vulnerabilidad severa que recibió un puntaje de 9/10.
CVE-2020-12501: El uso de credenciales hard-code en el código de la aplicación permitiría a los hackers maliciosos no autenticado acceder al sistema afectado utilizando las credenciales de un usuario objetivo. Esta falla de seguridad recibió un puntaje de 9/10.
CVE-2020-12502: Esta falla existe debido a la incorrecta validación del origen de una solicitud HTTP. Los actores de amenazas podrían engañar a un usuario objetivo para redirigirlo a una página web especialmente diseñada y realizar acciones maliciosas en el contexto de un sitio web vulnerable. Esta falla de seguridad recibió un puntaje de 5.6/10.
CVE-2020-12503: Una validación de entrada incorrecta permitiría a un administrador remoto pasar datos especialmente diseñados a la aplicación y ejecutar comandos arbitrarios en el sistema de destino. Esta falla de seguridad recibió un puntaje de 6.6/10.
CVE-2020-12504: Un backdoor puede estar presente en el software. Los actores de amenazas remotos pueden usar esta falla para acceder a la aplicación vulnerable y comprometer el sistema afectado. Esta falla de seguridad recibió un puntaje de 9/10.
Asimismo, la lista de productos afectados por estas fallas de seguridad se presenta a continuación:
RocketLinx ES7510-XT - RocketLinx ES8509-XT - RocketLinx ES8510-XT - RocketLinx ES9528-XTv2 - RocketLinx ES7506
RocketLinx ES7510 - RocketLinx ES7528 - RocketLinx ES8508 - RocketLinx ES8508F - RocketLinx ES8510
RocketLinx ES8510-XTE - RocketLinx ES9528/ES9528-XT
Cabe precisar, estas vulnerabilidades no han sido corregidas aun por la compañía fabricante.
3. Recomendaciones:
Actualizar los parches de seguridad en el sitio web oficial del fabricante en cuanto estén disponibles.
Establecer procedimientos de registro de incidentes.
Preparar un plan de recuperación operacional.
Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N°187
Fecha: 08-10-2020
Página: 4 de 00
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Nueva botnet denominada HEH
Tipo de ataque Botnets Abreviatura Virus
Medios de propagación IRC, USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C02
Clasificación temática familia Código malicioso
Descripción
1. El 07 de octubre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de la publicación, sobre una nueva botnet denominada HEH, que cuenta con un código que puede ser utilizada para borrar router, servidores o cualquier dispositivo IoT que esté conectado en la red.
2. La botnet HEH fue recientemente descubierta por un grupo de investigadores de seguridad de Netlab, el cual tiene un código que permite borrar todos los datos de los sistemas que ha infectado. Se propaga a través de lanzamientos de ataques de fuerza bruta contra cualquier sistema conectado a internet que tenga sus puertos SSH (23 y 2323) expuestos en la red, la botnet al ingresar al sistema descarga uno de los siete binarios que instalan el malware HEH. Asimismo, según los especialistas este malware no contiene ninguna característica ofensiva, como lanzar ataques DoS, la capacidad de instalar mineros de criptomonedas o el código para ejecutar proxies y derivar tráfico a sitios maliciosos.
3. Sin embargo, este malware dentro de las características que tiene es la función que atrapa los dispositivos infectados y los obliga a realizar ataques de fuerza bruta SSH a través de internet, también tiene una función que permite a los atacantes ejecutar comandos Shell en el dispositivo infectado, el cual borra todas las particiones del dispositivo. Por lo que los investigadores indican que si se utiliza esta función frecuentemente podría derivar en el bloqueo de cientos o miles de dispositivos.
4. Asimismo, los investigadores de Netlab han detectado muestras HEH que pueden ejecutarse en las siguientes arquitecturas de CPU X86 (32/64), ARM (32/64), MIPS (MIPS32/MISP III) y PPC.
5. Se recomienda:
Crear contraseñas robustas.
Contar con herramientas de seguridad.
Mantener actualizado los sistemas.
Mantener actualizado el antivirus.
Mantener actualizado todos los softwares de la computadora como herramientas, navegadores, etc.
Fuentes de información https[:]//www.seguridadpy.info/2020/10/esta-nueva-botnet-puede-borrar-tu-router-servidores-o-dispositivos/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N°187
Fecha: 08-10-2020
Página: 5 de 00
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Nueva campaña de phishing Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros Código de familia G Código de subfamilia G02 Clasificación temática familia Fraude
Descripción
1. El 08 de octubre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó información sobre una nueva campaña de phishing a través de correos electrónicos, el cual utiliza como señuelo la salud del presidente de los Estados Unidos Donald Trump, después de haber sido infectado con COVID-19.
2. Esta nueva campaña de phishing fue detectada esta semana por investigadores de ciberseguridad ProofPoint, en el cual se utiliza una variedad de temas relacionado con la enfermedad del presidente Trump, estos correos no deseados en el cual indican que tienen nueva información privilegiada sobre la salud del presidente de EE.UU., requieren que la víctima descargue un archivo utilizando un enlace incrustado. Una vez que la víctima hace clic en el enlace, se abre una pestaña en el navegador el cual indica que es seguro y solicita que se descargue el documento. Si la victima descarga el documento de Word, se descarga un ejecutable de BazarLoader.
3. BazarLoader, es un troyano de puerta trasera, que permite a los actores de amenazas acceder de forma remota a la computadora de la víctima, a fin de comprometer la red. Asimismo, este tipo de ataques conducen al despliegue de Ryuk ransomware en la red infectada, lo que se convertiría en un ataque a nivel corporativo.
4. Se recomienda:
Mantener actualizado el antivirus y el sistema operativo.
Activar el filtrado y escaneo de cada uno de los correos electrónicos ingresantes.
No abrir correos de usuarios desconocidos o que no hayan solicitado, elimínelos directamente.
Mantener actualizado todos los softwares de la computadora como herramientas, navegadores, etc.
Implementar una cultura de ciberseguridad.
Fuentes de información https[:]//www.bleepingcomputer.com/news/security/phishing-emails-lure-victims-with-inside-info-on-trumps-health/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 187
Fecha: 08-10-2020
Página: 6 de 00
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Piratas informáticos abusan del servicio de informe de errores de Windows (WER). Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, correo, red, navegación internet. Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso
Descripción
1. El 07 de octubre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por los investigadores de seguridad de “Malwarebytes”, un nuevo ataque denominado “Kraken” que utiliza su carga útil inyectada en el servicio Informe de errores de Windows para evadir la detección.
2. WerFault.exe es un servicio que muestra que se produjo algún error con el sistema operativo, las funciones de Windows o las aplicaciones, las víctimas asumirían que se produjo algún error, pero los atacantes ejecutan el malware “Kraken” sigilosamente utilizando el proceso.
3. “Kraken” realiza el ataque con un archivo .zip que contiene un documento malicioso denominado "Compensation manual.doc" y tiene una etiqueta de imagen que apunta al sitio web "yourrighttocompensation [.] Com". Dentro del archivo del documento malicioso, incluye una versión modificada del módulo VBA “CactusTorch” (lanzador de shellcode) que aprovecha la técnica DotNetToJscript para cargar un binario compilado .Net en la memoria y ejecutarlo desde VBScript.
4. Una vez que una víctima abre el archivo malicioso, ejecutará la macro “CactusTorch” que ejecuta la carga de .NET directamente en la memoria del dispositivo de Windows. El binario se ejecuta en la memoria de la ventana e inyecta shellcode incrustado en el proceso de Windows. Como el binario se ejecuta en la memoria de Windows, no dejará ningún rastro en el disco duro.
5. Se recomienda:
Mantener actualizado el Sistema Operativo.
Mantener la base de datos del Antivirus actualizada.
Fuentes de información https[:]//gbhackers.com/fileless-malware-attack/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 187
Fecha: 08-10-2020
Página: 7 de 00
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Malware PoetRAT ataca mediante documentos maliciosos de Microsoft Word Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, correo, red, navegación internet. Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso
Descripción
1. El 08 de octubre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por los investigadores de seguridad y la página web “Gbhackers”, quienes observaron campañas nuevas con PoetRAT modificado, dirigida a varios sectores públicos y privados.
2. El RAT tiene herramientas para monitorear el disco duro y exfiltrar los datos automáticamente, además de que tiene características adicionales de RAT como registradores de teclas, ladrones de contraseñas enfocados en el navegador, aplicaciones de control de cámara y otros ladrones de contraseñas genéricas.
3. El actor de amenazas utiliza documentos de Word maliciosos para engañar a las víctimas para que descarguen el documento malicioso de proveedores de alojamiento temporal.
4. Una vez que el usuario abre los documentos maliciosos, suelta el intérprete de Python y PoetRAT, también la nueva versión usa el protocolo HTTP para la comunicación del servidor C2. El atacante intenta exfiltrar documentos confidenciales de los sistemas comprometidos.
5. Se recomienda:
Evitar abrir archivos de dudosa procedencia.
Mantener actualizado los sistemas operativos y la base de datos del antivirus.
Fuentes de información https[:]//gbhackers.com/modified-poetrat-campaigns/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 187
Fecha: 08-10-2020
Página: 8 de 00
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Los usuarios informan problemas en Adobe Creative Cloud. Tipo de ataque Interrupción de servicios tecnológicos Abreviatura IntServTec Medios de propagación USB, disco, correo, red, navegación internet. Código de familia F Código de subfamilia F02 Clasificación temática familia Disponibilidad de servicio
Descripción
1. El 08 de octubre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por los usuarios de Adobe y la página web Bleeping Computer, quienes observaron que Adobe está sufriendo una interrupción importante que impide a los usuarios iniciar sesión en Creative Cloud o acceder a sus aplicaciones suscritas o datos almacenados.
2. Al intentar iniciar sesión en el servicio, se ha encontrado con círculos giratorios, códigos de error como el que se muestra a continuación o la capacidad de iniciar sesión, pero no utilizar el servicio correctamente.
3. Los clientes de Adobe pueden estar experimentando fallas de inicio de sesión cuando intentan acceder a los servicios en la nube de Adobe. Los usuarios de Twitter y DownDetector informan problemas similares y están frustrados de que el traslado de Adobe a la nube haya causado estos problemas en lugar de cuando los programas eran locales.
4. Se recomienda:
Estar pendientes a las actualizaciones del software Adobe en su página oficial.
Mantener actualizada la base de datos del antivirus.
Fuentes de información https[:]//www.bleepingcomputer.com/news/technology/adobe-creative-cloud-down-users-report-login-data-access-issues/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N°187
Fecha: 08-10-2020
Página: 9 de 00
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nombre de la alerta La técnica de ataque sin archivos kraken abusa del informe de errores de Microsoft Windows (WER)
Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico. Código de familia C Código de subfamilia C03 Clasificación temática familia Código malicioso.
Descripción
1. El 08 de octubre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó que un grupo no identificado de piratas informáticos está utilizando una nueva técnica de ataque sin archivos, denominada KRAKEN, que abusa del Informe de errores de Microsoft Windows (se produce normalmente después de un fallo del sistema, fallos de un programa o aplicaciones).
2. Los actores emplearon técnicas de anti-análisis y evasión, incluida la ofuscación de código y la realización de algunas comprobaciones para entornos sandbox o depuradores, probablemente los ciberdelincuentes sean del grupo APT32, que lanzó un ataque de tipo phishing que usaba mensajes con un archivo .ZIP adjunto, titulado "Compensation manual.doc", afirma contener información relacionada con los derechos de compensación del trabajador.
3. Una vez que se abre el documento, se
activa una macro (instrucciones y comandos), el código malicioso utiliza una versión personalizada del módulo CactusTorch VBA (un reconocido malware sin archivos que carga una payload y se ejecuta desde la memoria sin dejar rastros en el disco duro).
4. Se recomienda:
Evitar ingresar a enlaces no confiables.
Evitar descargar y abrir archivos de fuentes no confiables.
Mantener los equipos protegidos, con el software actualizado.
Fuentes de información Comandancia de Ciberdefensa de la Marina, OSINT.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 187
Fecha: 08-10-2020
Página: 10 de 00
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección de una nueva Botnet denominada Ttint.
Tipo de ataque Botnets Abreviatura Virus
Medios de propagación IRC, USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C02
Clasificación temática familia Código malicioso
Descripción
1. El 08 de octubre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio “ZDNet.com”, se informa sobre la detección de una nueva botnet denominada “Ttint” (RAT basado en el código de la Botnet Mirai), dirigido a dispositivos IoT (internet de las cosas), el cual tiene como objetivo explotar una vulnerabilidad (CVE-2020-10987) de día cero para infiltrarse en los enrutadores Tenda. Los actores de la amenaza al ejecutar con éxito Ttint también modifica la configuración de DNS en enrutadores infectados y redirige a las víctimas a sitios maliciosos.
2. Detalles:
La botnet Ttint, se distribuye a través de ataques de fuerza bruta o DDOS y explotación de vulnerabilidades de día cero registradas en el dispositivo objetivo.
La botnet utiliza el protocolo WSS (WebSocket sobre TLS) para la comunicación C2 para eludir la detección de tráfico y proporcionar una comunicación cifrada segura para el comando y control.
Ttint cuenta con una serie de funciones diferentes, como proporcionar a los atacantes acceso de forma remota a la intranet del enrutador, secuestrar el acceso a la red para posiblemente robar información confidencial, establecer reglas de reenvío de tráfico y aprovechar un shell inverso como shell local.
Ttint también puede actualizarse a sí mismo o matar su propio proceso y ejecutar comandos emitidos por el comando y control (C&C).
Ttint puede secuestrar cualquier acceso a la red de la víctima bajo el dispositivo de enrutamiento, nombrar procesos aleatorios, cifrar información de configuración sensible, integración de una gran cantidad de vectores de ataque, etc.
Imagen: Ttint infecta todos los dispositivos conectados a una misma red.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Indicadores de compromiso (IoC).
o URL utilizadas en la ejecución de Ttint, las cuales fueron analizadas en la plataforma de virus total:
hxxp://45.112.205.60/td.sh
hxxp://45.112.205.60/ttint.i686
hxxp://45.112.205.60/ttint.arm5el
hxxp://45.112.205.60/ttint.mipsel
hxxp://34.92.139.186:5001/bot/get.sh
3. Recomendaciones:
No abra archivos sospechosos.
No siga instrucciones de desconocidos.
Mantenga su antivirus actualizado.
Descargar aplicaciones de fuentes confiables.
Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.
Fuentes de información https[:]//www.zdnet.com/article/new-ttint-iot-botnet-caught-exploiting-two-zero-days-in-tenda-routers/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 12 de 00
Índice alfabético
bot .................................................................................................................................................................................... 11 botnet ................................................................................................................................................................ 2, 4, 10, 11 Botnets......................................................................................................................................................................... 4, 10 Código malicioso .............................................................................................................................................. 4, 6, 7, 9, 10 Fraude ................................................................................................................................................................................ 5 fuerza bruta ................................................................................................................................................................. 4, 10 hxxp ................................................................................................................................................................................. 11 Intento de intrusión ........................................................................................................................................................... 3 internet ........................................................................................................................................................ 3, 4, 6, 7, 8, 10 Interrupción de servicios tecnológicos .............................................................................................................................. 8 IoT ................................................................................................................................................................................ 4, 10 IRC, USB, disco, red, correo, navegación de internet .................................................................................................. 4, 10 malware ..................................................................................................................................................................... 4, 6, 9 Malware ..................................................................................................................................................................... 2, 6, 7 phishing ..................................................................................................................................................................... 2, 5, 9 Phishing ......................................................................................................................................................................... 5, 9 ransomware ....................................................................................................................................................................... 5 redes sociales ..................................................................................................................................................................... 1 Redes sociales ................................................................................................................................................................ 5, 9 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ........................................................................ 5 servidor .............................................................................................................................................................................. 7 servidores .......................................................................................................................................................................... 4 software ..................................................................................................................................................................... 3, 8, 9 URL ................................................................................................................................................................................... 11
