Lima, 12 de junio de 2020€¦ · PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional [email protected] La presente Alerta Integrada de Seguridad Digital

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

[email protected]

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 12 de junio de 2020

http://www.gob.pe/

mailto:[email protected]


www.gob.pe

[email protected]

Contenido Serie de bot intentan realizar conexiones no autorizadas. ........................................................................... 3

Vulnerabilidad en IntelliBridge Enterprise (IBE) de Philips ........................................................................... 4

Vulnerabilidades de seguridad en los productos de Citrix ............................................................................ 5

Vulnerabilidades críticas en Fortinet Fortisiem y Fortianalyzer .................................................................... 6

Vulnerabilidades de los servidores web de Tomcat y Jboss .......................................................................... 7

Vulnerabilidad cuando se ejecuta códigos de aplicación remotamente en Firefox ..................................... 8

Ransomware "Thanos" utiliza sofisticadas técnicas para evitar ser detectado. ........................................... 9

Phishing instala programa NetSupport Manager ........................................................................................10

Usuarios de Twitter publica nuevas víctimas del ransomware “Maze” ......................................................11

Un fallo en algunas webs permite evitar anuncios añadiendo un punto en la URL ....................................12

Nuevo malware “Valak” utiliza infraestructura de malware Gozi ...............................................................13

Grupo de amenazas “Gamaredon” utiliza una macro VBA dirigida a Microsoft Outlook ...........................14

Detecciones de actividad sospechosa .........................................................................................................16

Índice alfabético ..........................................................................................................................................18

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 069

Fecha: 12-06-2020

Página: 3 de 18

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Serie de bot intentan realizar conexiones no autorizadas.

Tipo de ataque Blacklist Abreviatura blacklist

Medios de propagación Red, internet

Código de familia G Código de subfamilia G03

Clasificación temática familia Fraude

Descripción

1. Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que viene circulando una serie de bot realizando conexiones no permitidas.

2. Detalle de la alerta

A través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que desde la red de internet mediante una serie de bot (Script que efectúa automáticamente tareas repetitivas a través de internet) intentan realizar conexiones no permitidas como autenticación de fuerza bruta, escaneo de vulnerabilidades, intentos de ataques ddos, vpn/proxy de baja reputación, así como otras conexiones no permitidas, etc.

Por la anatómica del caso se incluye como link a un archivo en texto plano CVS en la nube.

Validar con sus proveedores y quienes hagan de sus veces en el monitoreo de ataques correspondiente.

Archivo en texto plano:

https://colabora.gobiernodigital.gob.pe/index.php/s/ztSmLGjxGQQ743X

3. 3. Recomendaciones

Añadir mecanismos o reglas que previenen estos ataques en las aplicaciones web o páginas de internet.

Los usuarios deben mantener un antivirus actualizado para evitar virus o software malicioso que podrían permitir a un atacante acceder a su computadora y servir de medio de ataque.

Implementar una política de uso de correo electrónico.

Revisar las políticas de usuario en el uso de contraseñas complejas; por ejemplo, usar combinación de letras en minúscula y mayúscula, números y caracteres especiales, etc.

Implementar medidas de protección ante fallos.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 12-06-2020

Página: 4 de 18

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Vulnerabilidad en IntelliBridge Enterprise (IBE) de Philips

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC


Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. El 12 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de la publicación, sobre una vulnerabilidad de divulgación de información de registro en el sistema Philips IntelliBridge Enterprise (IBE) en las versiones B.12 y anteriores. El identificador asignado a esta vulnerabilidad es el CVE-2020-12023.

2. IntelliBridge Enterprise (IBE), es una solución que proporciona un único punto de interoperabilidad basado en estándares entre sus sistemas clínicos de Philips y los sistemas de información de una empresa.

3. La vulnerabilidad, existe debido a que el software almacena información confidencial en archivos de registro, permitiendo que un administrador en la red local pueda leer las credenciales de texto sin formato de los archivos de registro. Un atacante podría aprovechar esta vulnerabilidad para leer credenciales de texto sin formato de un archivo de registro.

4. Al respecto, Philips planea una nueva versión (IBE B.13) para fines del segundo semestre de 2020 que soluciona esta vulnerabilidad, por lo que recomienda que los registros de transacciones de IBE se hagan accesibles solo con privilegios administrativos, crear una cuenta adicional en el sistema IBE con privilegios limitados para los ingenieros de servicio; así como, reducir la retención de registros a un periodo de tiempo más corto.

5. Recursos afectados:

IntelliBridge Enterprise (IBE) versiones B.12 y anteriores.

Integración del sistema de IntelliBridge Enterprise con SureSigns (VS4), EarlyVue (VS30), IntelliVue Guardian (IGS).

6. Se recomienda:

Actualizar el software cuando salga la nueva versión que soluciona esta vulnerabilidad de la página oficial del proveedor.

Crear una cuanta adicional en el sistema de IBE con privilegios limitados.

Reducir la retención de los registros a un plazo aceptable que permita las actividades de recuperación.

Fuentes de información https[://]www.usa.philips.com/healthcare/about/customer-support/product-security

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 12-06-2020

Página: 5 de 18

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Vulnerabilidades de seguridad en los productos de Citrix





Descripción

1. El 12 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de la publicación de Citrix Systems, sobre dos vulnerabilidades de tipo de permisos predeterminados incorrectos en la aplicación Citrix Workspace y Receiver para Windows, las que fueron descubiertas por el investigador Andrew Hess; se les asigno los siguientes identificadores CVE-2020-13884 y CVE-2020-13885.

2. Citrix Systems, es una empresa de software americana que ofrece múltiples soluciones referentes a la virtualización de servidores, escritorios y aplicaciones, además de otras tecnologías asociadas a la nube. El cual presenta dos vulnerabilidades en la aplicación de Citrix Workspace y Receiver para Windows.

3. La vulnerabilidad CVE-2020-13884, existe debido a que el programa tiene permisos inseguros para% PROGRAMDATA% \ Citrix (y un UninstallString sin comillas). Un atacante local puede aprovechar esta vulnerabilidad para obtener privilegios al copiar citrix.exe malicioso.

4. La vulnerabilidad CVE-2020-13885, proviene del programa que asigna permisos inseguros a '\\% PROGRAMDATA \\% CitrixCitrix Workspace ####'. Un atacante local puede aprovechar esta vulnerabilidad para obtener privilegios al usar el webio.dll malicioso.

5. Según la Citrix Systems, estas vulnerabilidades afectan a las versiones compatibles de la aplicación CitrixWorkpace para Windows antes de 1912 y todas las versiones compatibles de Citrix Receiver para Windows.

6. Recursos afectados:

Citrix Receiver para Windows, todas las versiones.

Citrix Workspace App, versiones anteriores a la de 1912.

7. Se recomienda:

Actualizar Citrix Workspace App a la versión 1912 o posteriores, incluidas las versiones LTSR.

Los clientes que usan Citrix Receiver que actualicen a la aplicación Citrix Workspace.

Actualizar a la nueva versión de la aplicación Citrix Workspace para Windows lanzada por el proveedor.

Fuentes de información https[://]support.citrix.com/article/CTX275460#

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 069

Fecha: 12-06-2020

Página: 6 de 18

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Vulnerabilidades críticas en Fortinet Fortisiem y Fortianalyzer

Tipo de ataque Abuso de privilegios o de políticas de seguridad

Abreviatura AbuPrivPolSeg

Medios de propagación Red, internet Código de familia K Código de subfamilia K01 Clasificación temática familia Uso inapropiado de recursos

Descripción

1. El 12 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó a través de especialistas en seguridad en base de datos, reportaron el hallazgo de dos vulnerabilidades de seguridad en FortiSIEM Windows Agent y FortiAnalyzer, productos desarrollados por la firma Fortinet. La explotación exitosa de estas fallas permitiría el despliegue de escenarios maliciosos como ataques de scripts entre sitios y escaladas de privilegios.

2. La vulnerabilidad (CVE-2020-9292), existe debido a que algunos servicios tienen una ruta de servicio sin comillas, lo que podría conducir a ataques de escalada de privilegios en el sistema objetivo. La falla se encuentra en la versión 3.1.2 de FortiSIEM Windows Agent y recibió un puntaje CVSS de 8.5/10, por lo que se le considera una vulnerabilidad de alta gravedad.

3. La vulnerabilidad CVE-2020-6640 existe debido a una insuficiente depuración de los datos proporcionados por los usuarios pasados por el Área de Descripción, lo que podría conducir a un ataque de scripts entre sitios (XSS). La falla se encuentra en las siguientes versiones de FortiAnalyzer: 6.2.0, 6.2.1, 6.2.2 y 6.2.3.

4. Los hackers remotos podrían inyectar y ejecutar código HTML arbitrario, además de scripts en el navegador de usuario en el contexto de un sitio web vulnerable. La explotación exitosa de esta vulnerabilidad permitiría que un actor de amenazas remoto extraiga información potencialmente confidencial, cambie la apariencia del sitio web atacado o realice ataques de phishing, mencionan los especialistas en seguridad en base de datos.

5. Se recomienda:

Verificar la instalación de Fortinet.

Ingresar a las plataformas oficiales de las compañías tecnológicas.

Fuentes de información https[://]noticiasseguridad.com/vulnerabilidades/vulnerabilidades-criticas-en-fortinet-fortisiem-y-fortianalyzer-la-seguridad-de-red-de-miles-de-empresas-esta-en-riesgo/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 12-06-2020

Página: 7 de 18

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Vulnerabilidades de los servidores web de Tomcat y Jboss Tipo de ataque Explotación de vulnerabilidades Abreviatura EVC Medios de propagación Red, Navegación de internet Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión

Descripción 1. El 12 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento

del informe de la firma de ciberseguridad Chaitin Tech, sobre la vulnerabilidad de los servidores Web de Tomcat y Jboss, esta información fue publicada el 08 de junio de 2020 por la web de Noticias de seguridad informática.

2. Esta vulnerabilidad en el servidor web de Tomcat y Jboss permite leer cualquier archivo de configuración del

servidor sin autenticación.

3. Esta vulnerabilidad reside en el protocolo AJP (Apache Jserv Protocol) de Apache Tomcat, AJP es un protocolo binario que permite revertir las solicitudes de proxy de un servidor web FrontEnd a un servidor de aplicaciones BackEnd, propagando efectivamente toda la información necesaria para que el flujo solicitud/respuesta se lleve a cabo de forma exitosa. Este protocolo está habilitado de forma predeterminada, con el conector AJP escuchando en el puerto TCP 8009 y enlazado a la dirección IP 0.0.0.0. un hacker remoto no autenticado podría abusar de esta configuración para leer archivos de aplicaciones web desde un servidor, exponiendo el puerto AJP a clientes no confiables.

4. Se recomienda:

Actualizar a la más reciente versión de Apache Tomcat (9.0.31, 8.5.51 y 7.0.100).

Para las implementaciones basadas en JBoss, verifique y edite el conector AJP predeterminado que está

habilitado de manera predeterminada solo en los perfiles standalone-full-ha.xml, standalone-ha.xml y ha y full-ha en domain.xml

Fuentes de información https[://]noticiasseguridad.com/vulnerabilidades/falla-en-tomcat-y-jboss-permite-leer-cualquier-archivo-de-configuracion-del-servidor-sin-autenticacion/

http://www.gob.pe/


https://noticiasseguridad.com/vulnerabilidades/falla-en-tomcat-y-jboss-permite-leer-cualquier-archivo-de-configuracion-del-servidor-sin-autenticacion/

https://noticiasseguridad.com/vulnerabilidades/falla-en-tomcat-y-jboss-permite-leer-cualquier-archivo-de-configuracion-del-servidor-sin-autenticacion/


www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 12-06-2020

Página: 8 de 18

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Vulnerabilidad cuando se ejecuta códigos de aplicación remotamente en Firefox





Descripción

1. El 12 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado

información publicada el 11 de junio de 2020 en la red social Twitter por el usuario “AusRealNews”. Expertos en

seguridad de Cisco Talos han publicado detalles técnicos sobre una vulnerabilidad recientemente en Firefox,

identificada como “CVE-2020-12405”, que podría ser explotada por los atacantes para la ejecución remota de

código.

2. La vulnerabilidad es del tipo use-after-free en SharedWorkerService y recibió una puntuación CVSS de “8.8”. La falla

afecta a Firefox versión 76.0a1 x64.

3. Un service worker es una secuencia de comandos que el navegador ejecuta en segundo plano, separado de una

página web, abriéndoles la puerta a funciones que no necesitan una página web ni interacción de usuario.

4. La vulnerabilidad podría explotarse engañando a un usuario para que visite una página HTML maliciosa que fue

diseñada para causar una condición de carrera, lo que lleva a la falla de use-after-free y luego a la ejecución remota

de código.

5. Se recomienda:

Actualizar Firefox a la última versión disponibles, 77.0.1 (64-bit).

Tener siempre actualizado el programa antivirus.

Tener siempre actualizado el Sistema Operativo, con los últimos parches de seguridad.

Fuentes de información https[://]twitter.com/AusRealNews/status/1270738328732696577 https[://]securityaffairs.co/wordpress/104595/hacking/cisco-firefox-code-execution.html

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 12-06-2020

Página: 9 de 18

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Ransomware "Thanos" utiliza sofisticadas técnicas para evitar ser detectado. Tipo de ataque Ransomware Abreviatura Ransomware Medios de propagación Correo electrónico, redes sociales, entre otros. Código de familia C Código de subfamilia C09 Clasificación temática familia Código malicioso

Descripción

1. El 12 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó de un ransomware llamado "Thanos" ha sido promovido desde febrero en varios foros de hackeo en la darknet. El ransomware ha sido desarrollado con características particulares por lo que hasta el momento no ha sido identificable, pero la característica más notable encontrada es el uso de la técnica del malware RIPlace en su proceso de encriptación de archivos, anteriormente, la técnica RIPlace solo se observaba en la prueba del concepto publicado por Nyotron, pero el ransomware “Thanos” muestra un ejemplo en un actor de amenazas que utiliza esta técnica para su uso como malware, el generador del ransomware permite al operador personalizar la nota de rescate del software modificando el texto para solicitar el pago en criptomonedas de su elección.

2. Se recomienda:

Evitar abrir correos de remitentes desconocidos.

No instalar softwares desconocidos y sin analizar.

Evitar abrir enlaces no solicitados o de dudosa procedencia.

Realizar copias de seguridad periódicas de los datos.

Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina, OSINT.

Diagrama de flujo del Ransomware.

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 12-06-2020

Página: 10 de 18

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Phishing instala programa NetSupport Manager Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Correo electrónico. Código de familia G Código de subfamilia G02 Clasificación temática familia Fraude

Descripción

1. El 12 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó que ciberdelincuentes siguen aprovechándose del confinamiento social generado por la pandemia Covid-19 (Coronavirus), mediante el envío de correos electrónicos fraudulentos suplantando la identidad del Centro de Investigación Coronavirus de la Universidad John Hopkins (EE.UU.), dentro del contenido incluyen un archivo adjunto de formato Excel donde contiene una lista actualizada de los fallecidos por el Coronavirus. Al habilitar el archivo, se instala automáticamente un programa llamado “NetSupport Manager”, el cual permite al atacante acceder de forma remota al equipo, permitiéndoles robar datos confidenciales, instalar softwares maliciosos e incluso utilizar el equipo para actividades delictivas.

2. El NetSupport Manager, es una aplicación comercial multiplataforma desarrollada por NetSupport Limited, se usaba como herramienta de administración remota para que los administradores accedan a las computadoras de los clientes de forma remota. Sin embargo, los ciberdelincuentes lo utilizan como un malware.

3. Se recomienda:

Evitar ingresar a enlaces no confiables.

Evitar descargar y abrir archivos de fuentes no confiables.

Mantener los equipos protegidos, con el software actualizado

Fuentes de información Comandancia de Ciberdefensa de la Marina. Osint

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRAL DE


Fecha : 12-06-2020

Página: 11 de 18

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Usuarios de Twitter publica nuevas víctimas del ransomware “Maze”

Tipo de ataque Ransomware Abreviatura Ransomware

Medios de propagación Correo electrónico, Redes Sociales, entre otros

Código de familia C Código de subfamilia -

Clasificación temática familia Código malicioso

Descripción

1. El 12 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar a un

usuario en la red social Twitter, identificado como “Derecho de la red” (@DerechodelaRed), quien ha realizado una publicación, donde muestra como el Ransomware “Maze”, infectó a diversos ordenadores secuestrando su información, perjudicando la funcionabilidad de los equipos.

2. Se recomienda:

Los administradores de red y encargados del área de soporte técnico, deberá de preveer medidas para evitar la infección con el ransomware “maze”, así como, la actualización completa de todos los ordenadores.

Fuentes de información https[://]twitter.com/DerechodelaRed/status/1271182701702381568

http://www.gob.pe/


https://twitter.com/DerechodelaRed/status/1271182701702381568


www.gob.pe

[email protected]

ALERTA INTEGRAL DE


Fecha : 12-06-2020

Página: 12 de 18

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Un fallo en algunas webs permite evitar anuncios añadiendo un punto en la URL

Tipo de ataque Tiempo de respuesta fuera del normal. Abreviatura TiRespFuNo

Medios de propagación USB, disco, red, correo, navegacion de internet

Código de familia F Código de subfamilia F01

Clasificación temática familia Disponibilidad del Servicio

Descripción

1. El 12 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó el fallo

denominado “FULLY-QUALIFIED DOMAIN NAMES” (Nombre de dominio completo), que consiste en añadir un punto al final de la URL, permitiendo que algunas páginas web no muestren anuncios, e incluso, es posible evitar el pago de suscripciones.

2. Se recomienda:

Los administradores de las páginas web, deben establecer parámetros en las cabeceras del código fuente de

las páginas en mención.

Fuentes de información https[://]twitter.com/adslzone/status/1271352566803320832 https[://]www.adslzone.net/noticias/redes/fallo-webs-punto-url/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 12-06-2020

Página: 13 de 18

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Nuevo malware “Valak” utiliza infraestructura de malware Gozi

Tipo de ataque Malware Abreviatura Malware

Medios de propagación Correo electrónico, redes sociales, entre otros

Código de familia C Código de subfamilia C01


Descripción

1. Resumen:

Los investigadores de Sentinel Labs, han detectado que el malware Valak puede estar usando la infraestructura del malware Gozi ConfCrew y podría ser identificado erróneamente como Gozi. La estructura de campaña superpuesta ha llevado a algunos informes de sandbox a identificar erróneamente a Valak como Gozi.

2. Detalles:

Valak utiliza un malware de múltiples etapas basado en scripts que secuestra las respuestas de correo electrónico e incrusta URL o archivos adjuntos maliciosos para infectar dispositivos con scripts sin archivos. Esto podría causar que algunas sandbox (cajas de arena) lo identifiquen erróneamente como Gozi, que es un malware de tipo troyano, detectado por primera vez en el año 2007 y que infecta a ordenadores con sistema operativo Windows.

Una vez instalado, Valak captura los correos electrónicos del sistema, los arma y luego los envía en lo que se conoce como un "ataque de cadena de respuesta". El concepto detrás de esta forma de ataque es que los usuarios pueden estar entrenados para reconocer correos electrónicos de phishing, pero si un correo electrónico entrante parece ser parte de una cadena de discusión en la que ya estaban involucrados, su guardia puede estar relajada. También significa que los atacantes no tienen que invertir tiempo y esfuerzo en crear cuentas de correo electrónico que parezcan legítimas.

En cuanto a la confusión con Gozi, en una campaña reciente que utiliza Valak, los pasos finales de entrega de la carga útil fueron bastante similares a una infección de Gozi y en realidad utilizaron el mismo servidor de almacenamiento que los ataques de Gozi.

3. Indicadores de compromiso

Endpoint:

%temp%\\[a-f0-9]{12}.bin

Scheduled task 'PerfWatson_[a-f0-9]+'

ADS executable and script files:

HKCU\\Software\\ApplicationContainer\\Appsw64\\ShimV4

HKCU\\Software\\ApplicationContainer\\Appsw64\\SetupServiceKey

Network:

Base64 encoded PE files transferred over the wire

4. Recomendaciones:

Contar con herramientas de seguridad. Se debe tener instalado un buen antivirus para prevenir la entrada de malware que pueda poner en riesgo nuestro sistema. Será necesario tener por tanto software de seguridad que nos permita realizar análisis y evitar amenazas.

Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos. Será vital tener siempre los últimos parches y actualizaciones instalados.

No descargar o abrir archivos adjuntos que recibamos en nuestro correo. Tampoco acceder a posibles links fraudulentos que puedan poner en riesgo nuestros sistemas. Estos enlaces fraudulentos pueden llegar también a través de las redes sociales, aplicaciones de mensajería instantánea como Telegram y WhatsApp, entre otros.

Bloquear los indicadores de compromisos (IoC) mostrados, en los dispositivos de seguridad de su infraestructura.

Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

Fuentes de información https://labs.sentinelone.com/valak-malware-and-the-connection-to-gozi-loader-confcrew/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 12-06-2020

Página: 14 de 18

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Grupo de amenazas “Gamaredon” utiliza una macro VBA dirigida a Microsoft Outlook

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C03


Descripción

1. Resumen:

Los investigadores de ESET han descubierto varias herramientas post-compromiso utilizadas por el grupo de amenazas “Gamaredon” altamente activo en varias campañas maliciosas. Una herramienta, una macro VBA dirigida a Microsoft Outlook que utiliza la cuenta de correo electrónico del objetivo para enviar correos electrónicos de spearphishing a contactos en la libreta de direcciones de Microsoft Office de la víctima. Igualmente, los investigadores también han analizado otras herramientas de Gamaredon que tienen la capacidad de inyectar macros maliciosas y plantillas remotas en documentos existentes de Office.

2. Detalles:

El grupo Gamaredon usa un paquete que incluye un proyecto personalizado de Microsoft Outlook Visual Basic para Aplicaciones (VBA). Este paquete de código malicioso comienza con un VBScript que primero mata el proceso de Outlook si se está ejecutando, y luego elimina la seguridad en torno a la ejecución de macros VBA en Outlook al cambiar los valores del registro. También guarda en el disco el archivo OTM malicioso (proyecto Outlook VBA) que contiene una macro, el archivo adjunto de correo electrónico malicioso y, en algunos casos, una lista de destinatarios a los que se deben enviar los correos electrónicos.

El uso de macros VBA dirigidas a Microsoft Outlook ha proporcionado al grupo la capacidad de enviar correos electrónicos de spearphishing a los contactos en la libreta de direcciones de correo electrónico de la víctima. Estas macros permiten al grupo inyectar plantillas remotas y otras macros en la computadora de la víctima.

Cadena de compromiso típica de Gamaredon

Gamaredon ha aprovechado muchos lenguajes de programación diferentes en los últimos meses, que van desde C # a VBScript, archivos por lotes y C / C ++. Las herramientas utilizadas por Gamaredon son muy simples y están diseñadas para recopilar información confidencial de sistemas comprometidos y difundirse aún más.

El propósito de estas herramientas y macros es recopilar información y difundirla a otras víctimas. Normalmente, el grupo enviará un correo electrónico de spearphishing que contiene un documento malicioso. La macro del documento, si se ejecuta, descarga un archivo autoextraíble que, a su vez, descarga un archivo protegido con contraseña.

El archivo protegido contiene un comando wget que permite la descarga de herramientas posteriores al compromiso. El módulo Outlook VBA se usa para entregar malware. Este módulo mata el proceso de Outlook y elimina la seguridad en torno a la ejecución de macro VBA permitiendo un control total del proceso de ejecución de macro.

Script VBA de Outlook que crea el correo electrónico malicioso

http://www.gob.pe/



www.gob.pe

[email protected]

El código vuelve a lanzar Outlook, a su vez, cargando el proyecto Gamaredon VBA. El código se ejecuta al inicio utilizando un cambio realizado en el Registro de Windows. Luego, el módulo utiliza uno de los tres métodos para propagarse utilizando la lista de direcciones de correo electrónico de la víctima.

Este tipo de ataque podría llevar a una organización a creer que está siendo atacada por el grupo cuando, de hecho, son simplemente daños colaterales de otro usuario comprometido en una organización diferente. Se han observado archivos DOCX y LNK en los correos electrónicos recibidos.

De particular preocupación es la capacidad del malware para evitar la macro seguridad. Este tipo de actividad puede permitir que el código malicioso se adjunte a los documentos enviados entre compañeros de trabajo y, posiblemente, fuera de una red designada sin el conocimiento del usuario.

Los módulos contienen descargadores, la mayoría de ellos escritos en C # o VBScript. El módulo compilador C #, un ejecutable .NET, similar a muchas otras herramientas utilizadas por el grupo Gamaredon, utiliza técnicas de ofuscación como la inserción de código basura y la ofuscación de cadenas. Contiene en su cuerpo el código fuente codificado en base64 de un descargador y el módulo de proyecto GitHub, también es un ejecutable .NET que usa un repositorio de GitHub para obtener y ejecutar un descargador.

El propósito principal de los módulos de backdoors (puertas traseras) y file stealers (ladrones de archivos), es enumerar todos los documentos en un sistema comprometido y subirlos al servidor de C&C. Estos ladrones de archivos también pueden descargar y ejecutar código arbitrario desde el servidor de C&C. Al igual que con muchas otras herramientas utilizadas por el grupo Gamaredon, vienen en cuatro lenguajes de codificación diferentes: C / C ++, C #, archivo por lotes y VBScript.

El grupo Gamaredon utiliza muchos dominios diferentes, tanto gratuitos como de pago, para sus servidores de C&C. Los dominios gratuitos son principalmente DDNS de No-IP: hopto.org, ddns.net, myftp.biz, mientras que los dominios pagos se registran a través del registrador REG.RU e incluyen: .fun, .site, .space, .ru, .website y .xyz TLD.

A pesar de la simplicidad de la mayoría de sus herramientas, el grupo Gamaredon también es capaz de implementar algunas novedades, como su módulo Outlook VBA. Sin embargo, como está lejos de ser sigiloso, a la larga no es rival para una organización capaz. La variedad de herramientas que Gamaredon tiene a su disposición puede ser muy efectiva para tomar huellas digitales de una máquina y comprender qué datos confidenciales están disponibles, y luego difundirlos por toda la red.

3. Indicadores de compromiso (IoC):

SHA-1

o 6F75F2490186225C922FE605953038BDEB537FEE

o DFC941F365E065187B5C4A4BF42E770035920856

o 9AFC9D6D72F78B2EB72C5F2B87BDC7D59C1A14ED

o 3DD83D7123AEFBE5579C9DC9CF3E68BCAFC9E65E

o 941F341770B67F9E8EE811B4B8383101F35B27CD

o DC8BD2F65FD2199CE402C76A632A9743672EFE2D

o 336C1244674BB378F041E9064EA127E9E077D59D

o 5FC1B6A55A9F5A52422872A8E34A284CDBDD0526

4. Recomendaciones:

Contar con herramientas de seguridad. Se debe tener instalado un buen antivirus para prevenir la entrada de malware que pueda poner en riesgo nuestro sistema. Será necesario tener por tanto software de seguridad que nos permita realizar análisis y evitar amenazas.

Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos. Será vital tener siempre los últimos parches y actualizaciones instalados.

No descargar o abrir archivos adjuntos que recibamos en nuestro correo. Tampoco acceder a posibles links fraudulentos que puedan poner en riesgo nuestros sistemas. Estos enlaces fraudulentos pueden llegar también a través de las redes sociales, aplicaciones de mensajería instantánea como Telegram y WhatsApp, entre otros.

Bloquear los indicadores de compromisos (IoC) mostrados, en los dispositivos de seguridad de su infraestructura.

Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

Fuentes de información hxxps://www.welivesecurity.com/2020/06/11/gamaredon-group-grows-its-game/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 12-06-2020

Página: 16 de 18

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Detecciones de actividad sospechosa

Tipo de ataque Mal uso y abuso de los servicios tecnológicos Abreviatura MalUsoServTec

Medios de propagación Enlaces de internet

Código de familia K Código de subfamilia K01

Clasificación temática familia Uso Inapropiada de Recursos

Descripción

1. Resumen:

El 11 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó actividades sospechosas de ciberdelincuentes, quienes han utilizado recientemente direcciones IP, URL, Dominios, con la finalidad de propagar Malware o utilizarla como medio para llevar a cabo campañas de spam Phishing u otros ataques cibernéticos, aprovechando que la población viene cumpliendo inmovilización social, con motivo de la pandemia COVID-19.

2. Detalles:

Dentro la detección se ha podido obtener información de direcciones IP, así como de Host, los cuales al ser analizados son reportados como Phishing, Spam o Malware.

Direcciones IP:

Direcciones IP Detección

158.140.112.66 Correo no Deseado

188.161.172.101 Spam

99.84.174.51 Malware

99.84.174.33 Malware

12.130.188.76 Malware 172.67.206.161 Malware

188.72.202.247 Malware 63.32.66.131 Malware

52.31.247.173 Malware 188.72.202.78 Malware

Host Sospechosos

Nombre de Host Detección

basecovid.com Malware

nukedora.top Malware emails.wix.com Malware rc-consulting.org Malware ptewarin.net Malware monicasantiago.net Malware muestrasdocumentos.ru Malware noticias.universia.com.ar Malware kagrooxa.net Malware graphics8.nytimes.com Malware

http://www.gob.pe/



www.gob.pe

[email protected]

URL:

Sitio Web Detección

hxxp://companyriviera[.]eu/lyxhltrmei/MbVDtVUI8t.zip Malware

hxxp://companyriviera[.]eu/lyxhltrmei/ Malware

hxxp://technis[.]org/jzuaokr/ Malware

hxxps://www.barayemahdi.com/wp-content/plugins /tools.vbs Malware

hxxp://theeastsoluttrel[.]com/cle.php Phishing

hxxps://web.account.manage.page-amazon.auth. prankawrk.com/

Phishing

hxxps://services.amazon.fr-verification-address.newjndrewx .com/

Phishing

Archivos Infectados:

Nombre de Archivo Detección

Client.exe Generic. Malware

1591913281_pafish.exe Malicioso

1591912561_pafish.exe Maliciosos

1591912561_w7x32_pafish.exe Malware

Mist.Buld.exe Trojan.PWS.StealerNET.52

1591911121_pafish.exe Malware

map.jar Exploit.EXP/JAVA.Download.AMAA.Gen

1591911601_pafish.exe Trojan.Script.Generic.4!c

3. Algunas Recomendaciones:

Mantener actualizado los Antivirus

Verificar las URL´s con protocolo http

Realizar un análisis de dispositivo frecuentemente

Los ciberdelincuentes siempre están en busca de infectar tu dispositivo

Fuentes de información https[://]www.hackread.com/adware-barcode-reader-apps-on-play-store/

http://www.gob.pe/



www.gob.pe

[email protected]

Página: 18 de 18

Índice alfabético

Abuso de privilegios o de políticas de seguridad .............................................................................................................. 6 adware ............................................................................................................................................................................. 17 backdoors ........................................................................................................................................................................ 15 Blacklist .............................................................................................................................................................................. 3 bot .................................................................................................................................................................................. 2, 3 Código malicioso .............................................................................................................................................. 9, 11, 13, 14 Correo electrónico ........................................................................................................................................... 9, 10, 11, 13 Correo electrónico, redes sociales, entre otros .......................................................................................................... 9, 13 Enlaces de internet .......................................................................................................................................................... 16 Explotación de vulnerabilidades conocidas ............................................................................................................... 4, 5, 8 Fraude .......................................................................................................................................................................... 3, 10 fuerza bruta ....................................................................................................................................................................... 3 hxxp ................................................................................................................................................................................. 17 Intento de intrusión ............................................................................................................................................... 4, 5, 7, 8 internet .................................................................................................................................................................... 3, 7, 12 Mal uso y abuso de los servicios tecnológicos ................................................................................................................ 16 malware ................................................................................................................................................. 2, 9, 10, 13, 14, 15 Malware ......................................................................................................................................................... 13, 14, 16, 17 phishing ....................................................................................................................................................................... 6, 13 Phishing ........................................................................................................................................................... 2, 10, 16, 17 puerto ................................................................................................................................................................................ 7 ransomware ............................................................................................................................................................. 2, 9, 11 Ransomware ............................................................................................................................................................ 2, 9, 11 Red, internet ...................................................................................................................................................... 3, 4, 5, 6, 8 redes sociales ......................................................................................................................................................... 1, 13, 15 servidor .................................................................................................................................................................. 7, 13, 15 servidores ............................................................................................................................................................ 2, 5, 7, 15 software ............................................................................................................................................... 3, 4, 5, 9, 10, 13, 15 Spam ................................................................................................................................................................................ 16 stealers ............................................................................................................................................................................ 15 Tiempo de respuesta fuera del normal ........................................................................................................................... 12 URL ............................................................................................................................................................. 2, 12, 13, 16, 17 USB, disco, red, correo, navegación de internet ............................................................................................................. 14 Uso inapropiado de recursos ............................................................................................................................................. 6 Vulnerabilidad............................................................................................................................................................ 2, 4, 8 Vulnerabilidades .................................................................................................................................................... 2, 5, 6, 7

http://www.gob.pe/


Documents

Lima, 12 de junio de 2020€¦ · PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional [email protected] La presente Alerta Integrada de Seguridad Digital