PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 27 de julio de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido Roban tokens de GitHub y GitLab OAuth de la empresa Waydev ................................................................ 3

Archivos que contienen contraseñas de bases de datos .............................................................................. 4

BlackRock troyano para Android ................................................................................................................... 5

Operación de malware “Emotet” es pirateada para mostrar memes a las víctimas .................................... 6

Aplicación de DJI “Go 4” está espiando a millones de propietarios de drones ............................................ 7

La nueva botnet cryptojacking utiliza el exploit SMB para propagarse a los sistemas Windows ................. 8

Aplicación Kattana usada para administrar criptomonedas con malware ................................................... 9

Nueva campaña maliciosa del malware “QSNATCH” dirigido a dispositivos NAS de QNAP .......................10

Detección del malware QSnatch, dirigido a dispositivos NAS QNAP ..........................................................11

Índice alfabético ..........................................................................................................................................13

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 114

Fecha: 27-07-2020

Página: 3 de 13

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Roban tokens de GitHub y GitLab OAuth de la empresa Waydev

Tipo de ataque Robo de información Abreviatura RobInfo

Medios de propagación Correo electrónico, red e internet

Código de familia K Código de subfamilia K01

Clasificación temática familia Uso inapropiado de recursos

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que la empresa Waydev fue víctima de un ciberataque, donde irrumpieron en su plataforma para robar los tokens GitHub y GitLab OAuth de su base de datos interna.

2. Detalles de la alerta:

Waydev, es una empresa que ejecuta una plataforma para rastrear el trabajo de los ingenieros de software mediante el análisis de código basadas en Git. Para hacer esto, ejecuta una aplicación especial listada en las tiendas de aplicaciones GitHub y GitLab.

Cuando los usuarios instalan la aplicación, Waydev recibe un token OAuth de acceso. La compañía almacena este token en su base de datos y lo utiliza a diario para generar informes analíticos para sus clientes.

El incidente de seguridad digital ocurrió entre el 10 de junio de 2020 y el 03 de julio de 2020. La empresa Waydev, ha revelado una violación de seguridad en la cual indica que los ciberdelincuentes irrumpieron en su plataforma y robaron tokens GitHub y GitLab OAuth de su base de datos interna.

Al parecer, los ciberdelincuentes utilizaron una vulnerabilidad de inyección SQL ciega para obtener acceso a su base de datos, desde donde robaron tokens GitHub y GitLab OAuth. Luego, utilizaron algunos de estos tokens para pasar a las bases de código de otras compañías y obtener acceso a sus proyectos de código fuente.

Asimismo, El CEO de Waydev indico que el equipo de seguridad reparó la vulnerabilidad explotada por los atacantes el mismo día del incidente. También trabajaron con GitHub y GitLab para eliminar sus aplicaciones originales, revocar todos los tokens OAuth afectados y crear nuevas aplicaciones OAuth, invalidando efectivamente el acceso de los ciberdelincuentes a las cuentas GitHub y GitLab de los clientes de Waydev.

Además, el equipo de seguridad de la empresa indico que Los atacantes lograron recuperar datos personales, como correos electrónicos, nombres y apellidos, pero no recuperaron ninguna contraseña. Pero existe la posibilidad de que los atacantes clonen diferentes proyectos de GitHub y GitLab.

Cabe precisar, hay dos compañías que han reportado violaciones de seguridad el presente mes y culparon del incidente a Waydev: la aplicación de préstamos Dave.com y el servicio de prueba de software Flood.io .

3. Indicadores de Compromiso (IoC):

o 193[.]169[.]245[.]24 185[.]230[.]125[.]163

o saturndayc@protonmail.com/ 5abra.adrinelt@datacoeur.com

o ohoussem.bale6@sikatan.co/ 4monica.nascimene@vibupis.tk

4. Recomendaciones:

Evaluar bloqueo preventivo de los indicadores de compromiso.

Habilitar un firewall de aplicaciones web.

Verificar si hay registros de errores en cualquiera de sus servicios principales.

Realizar una revisión del código para identificar cualquier vulnerabilidad potencial que un atacante pueda explotar.

Cambiar la contraseña en las credenciales de acceso.

Utilizar contraseñas seguras.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 114

Fecha: 27-07-2020

Página: 4 de 13

Entidad que reporta MINISTERIO DEL INTERIOR

Nombre de la alerta Archivos que contienen contraseñas de bases de datos

Tipo de ataque Intento de acceso no autorizado a base de datos

Abreviatura ANBD

Medios de propagación Red e internet

Código de familia A Código de subfamilia A02

Clasificación temática familia Acceso no autorizado

Descripción

1. Descripción

El equipo de seguridad informática del Ministerio del Interior, ha evidenciado a través del monitoreo de fuentes

abiertas, la existencia de un Dork: intext:"db_database" ext:env intext:"db_password" de la categoría: Files Containing

Passwords, el cual expone credenciales de acceso a base de datos (usuarios y contraseñas).

Los dorks son palabras claves las cuales son utilizadas para encontrar sitios vulnerables.

La posible utilización del Dork por un atacante, genera riesgos de accesos no autorizados a bases de datos que

comprometan la confidencialidad, integridad y disponibilidad de la información de entidades del estado o empresas

privadas que presenten vulnerabilidades.

2. Se recomienda

Realizar una identificación de vulnerabilidades, mediante la utilización del Dork con los dominios institucionales.

Monitoreo continuo por parte de los responsables de seguridad informática, para identificar oportunamente

vulnerabilidades de seguridad en los sitios web.

Fuentes de información https[:]//www.exploit-db.com/google-hacking-database?category=9 https[:]//www.exploit-db.com/ghdb/6433

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 114

Fecha: 27-07-2020

Página: 5 de 13

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta BlackRock troyano para Android

Tipo de ataque Malware, vulnerabilidades Abreviatura BlackRock Troyano

Medios de propagación Red, internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Vulnerabilidades

Descripción

1. El 27 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento una nueva falla de seguridad en los dispositivos de Android. El malware fue descubierto en mayo por los analistas de ThreatFabric y se deriva del código fuente filtrado en 2019 del malware bancario Xerxes, una variante conocida del troyano LokiBot Android.

2. Además de ser el único malware de Android basado en el código fuente de Xerxes, BlackRock también presenta otra peculiaridad: a diferencia de otros troyanos bancarios, apunta a muchas aplicaciones no financieras de Android, con un enfoque en redes sociales, comunicación, redes y plataformas de citas. BlackRock se camufla como Google Update para solicitar los privilegios del "Servicio de Accesibilidad" y oculta su ícono cuando se inicia. Los permisos adicionales son necesarios para que el bot funcione completamente sin tener que interactuar con la víctima.

3. En su informe, Pickren menciona: “descubrí siete vulnerabilidades día cero en Safari identificadas como CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 y CVE-2020-9787; puedo confirmar que tres de estas fallas han sido utilizadas para esta variante de ataque”.

4. El malware también utiliza los perfiles de trabajo de Android para controlar el dispositivo comprometido sin requerir permisos de administrador, sino que crea su propio perfil administrado con derechos de administrador. La lista de objetivos de robo de tarjetas de crédito contiene 111 aplicaciones que incluyen, entre otras, Telegram, WhatsApp, Twitter, Skype, Instagram, Facebook, Play Store, YouTube, VK, Reddit, TikTok, Tinder y Grindr.

5. Se recomienda:

Actualizar a la versión más reciente.

Es vital que tengamos actualizados los equipos con los parches de seguridad disponibles. En muchas ocasiones pueden surgir vulnerabilidades que son aprovechadas por piratas informáticos para llevar a cabo sus ataques. Es vital que tengamos siempre las últimas actualizaciones y corrijamos así esos problemas.

Fuentes de información https[:]//blog.segu-info.com.ar/2020/07/blackrock-troyano-para-android-suplanta.html?m=1

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 114

Fecha: 27-07-2020

Página: 6 de 13

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Operación de malware “Emotet” es pirateada para mostrar memes a las víctimas Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso

Descripción

1. El 27 de Julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontro información que se detalla a continuación: La distribución de Emotet se basa en sitios web pirateados donde los actores almacenan cargas útiles para usar en sus campañas de spam. Cuando las víctimas de estas campañas caen en la trampa y abren archivos adjuntos de spam malicioso, las macros ejecutadas recuperarán la carga útil de malware Emotet de sitios comprometidos en la red de botnet.

2. Sin una carga útil, la computadora de la víctima no cae en manos de Emotet. Entonces, quienquiera que esté reemplazando el malware en la red de distribución de la botnet está haciendo un gran favor a los usuarios y también mantiene ocupado al actor de la amenaza. Joseph Roosen , miembro del grupo de investigadores de Cryptolaemus que lucha contra Emotet, calificó a la persona que estaba jugando con las cargas de Emotet como un "caballero blanco".

3. Los documentos maliciosos y el malware de los sitios de distribución de la botnet fueron reemplazados por varias imágenes y memes. Los investigadores vieron imágenes de James Franco al principio y luego los sitios pirateados de Emotet. Los operadores de Emotet usan shells web para mantener el acceso a los sitios web pirateados en su red de distribución. La explicación más plausible es que alguien descubrió la contraseña y decidió usar esta ventaja para interrumpir las operaciones de Emotet.

4. Asimismo, es probable que Emotet tenga otros métodos para recuperar el acceso a los sitios vulnerables que utiliza para propagar malware. Si controlan estas máquinas, podrían colocar otros shells web con una contraseña diferente para recuperar el control de su red de distribución.

5. Se recomienda:

Tener presente que Emotet puede comprar acceso a servidores de otros actores de amenazas que ejecutan estafas de redirección de tráfico. Estos atraen a los usuarios con anuncios y promociones falsas para exponerlos a varias estafas y encuestas.

Fuentes de información https[:]//www.bleepingcomputer.com/news/security/emotet-malware-operation-hacked-to-show-memes-to-victims/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 114

Fecha: 27-07-2020

Página: 7 de 13

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Aplicación de DJI “Go 4” está espiando a millones de propietarios de drones Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso

Descripción

1. El 27 de Julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontro información que se detalla a continuación: Se ha revelado la existencia de múltiples problemas en la aplicación de Android para controlar drones desarrollada por el fabricante chino Da Jiang Innovations (DJI). Al parecer, la explotación de estas fallas puede emplearse para esquivar los controles de Google Play Store e instalar contenido malicioso, además de extraer información confidencial para enviarla a los servidores de la compañía.

2. Los informes, presentados por las firmas Synacktiv y GRIMM, mencionan que la app “Go 4” solicita permisos demasiado invasivos y recopila datos personales como IMSI, IMEI y número de tarjeta SIM. Además, la app contiene código contra la depuración y el cifrado, lo que impide un adecuado análisis de seguridad, de modo similar a los servidores C&C en ataques de malware. Por otra parte, el segundo reporte menciona que, después de aplicar ingeniería inversa a la app, se descubrió la existencia de una URL (hxxps://service-adhoc.dji.com/app/upgrade/public/check) empleada para descargar una actualización que permite instalar aplicaciones no autorizadas.

3. En la actualización, los expertos modificaron esta solicitud para activar una actualización forzada de una aplicación arbitraria, lo que permite la instalación de aplicaciones no confiables, para posteriormente bloquear el uso de la aplicación hasta que la actualización sea instalada. Esto no solo es un incumplimiento de las políticas de Google Play Store, sino que además implica severos problemas de seguridad, pues los actores de amenazas podrían comprometer los servicios de actualización para instalar malware en los dispositivos afectados.

4. Además de esto, se descubrieron que la aplicación aprovecha MobTech SDK para pasar metadatos sobre el teléfono, incluido el tamaño de la pantalla, el brillo, la dirección WLAN, la dirección MAC, los BSSID, las direcciones Bluetooth, entre otros.

5. Se recomienda:

Verificar las políticas de Google Play Store para este tipo de app, para evitar severos problemas de seguridad, pues los actores de amenazas podrían comprometer los servicios de actualización para instalar malware en los dispositivos afectados o proximos a ultilizarse.

Fuentes de información https[:]//noticiasseguridad.com/seguridad-informatica/aplicacion-dji-go-4-esta-espiando-a-millones-de-propietarios-de-drones-como-tiktok/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 114

Fecha: 27-07-2020

Página: 8 de 13

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta La nueva botnet cryptojacking utiliza el exploit SMB para propagarse a los sistemas Windows Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso

Descripción

1. El 27 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 23 de julio de 2020 por Bleepingcomputer, sobre una nueva red de bots cryptojacking se está extendiendo a través de redes comprometidas a través de múltiples métodos que incluyen el exploit EternalBlue para el protocolo de comunicación Bloque de mensajes de Windows Server (SMB).

2. El objetivo del atacante es extraer la criptomoneda Monero (XMR) y esclavizar tantos sistemas como sea posible para esta tarea para obtener mayores ganancias.

3. Se nombro a la nueva botnet Prometei y se determino que el actor ha estado activo desde marzo. Etiquetaron los ataques como una campaña compleja que se basa en malware multimodular. Para saltar a las computadoras en la red, el actor combina binarios que viven fuera de la tierra (LoLBins) como PsExec y WMI, exploits SMB y credenciales robadas.

4. Prometei está robando contraseñas con una versión modificada de Mimikatz (miwalk.exe). Estos pasan al módulo separador (rdpclip.exe) para el análisis y la autenticación en una sesión SMB.

5. Si las credenciales fallan, el spreader lanza una variante del exploit EternalBlue para distribuir e iniciar el módulo principal (svchost.exe). Svajcer dice que el autor de la red de bots también es consciente de la vulnerabilidad SMBGhost , aunque no encontró evidencia de la vulnerabilidad que se está utilizando.

6. Prometei es diferente a la mayoría de las botnets mineras. Además de organizar las herramientas por su propósito en el ataque, también presenta atributos de evasión de detección y análisis. Además, también puede comunicarse con el servidor C2 utilizando proxies TOR o I2P para obtener instrucciones y enviar datos robados.

7. Se recomienda:

Mantener el software siempre actualizado, no hacer “click” en vínculos en correos electrónicos o adjuntos.

Fuentes de información https[:]//unaaldia.hispasec.com/2020/07/nueva-botnet-de-mineria-de-criptomonedas-utiliza-exploit-smb-para-infectar-equipos.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 114

Fecha: 27-07-2020

Página: 9 de 13

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Aplicación Kattana usada para administrar criptomonedas con malware

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C02

Clasificación temática familia Código malicioso

Descripción

1. El 27 de julio de 2020, se detectó que la aplicación para dispositivos Mac denominada “Kattana”, habría sido utilizada para realizar campañas de malware, haciéndose pasar por una actualización para posteriormente infectar los equipos con la finalidad de obtener el historial de navegación y cookies, carpetas de criptomonedas y capturas de pantalla del dispositivo de la víctima.

2. Cabe indicar, que estos datos son enviados con posterioridad a un servidor de comando y control (C2) acompañados de una sesión de terminal remota. En esta ocasión, los atacantes han hecho uso de la aplicación legítima de Kattana para incluir el malware, habiéndola además renombrado de cuatro formas diferentes (Cointrazer, Cupatrade, Licatrade, y Trezarus) y suplantando el sitio web oficial.

3. Se recomienda:

Al hacer uso de esa aplicación o página web, deberán de informar a sus proveedores de las falencias encontradas en el sitio para que el Departamento de Soporte Técnico pueda solucionarlo.

Fuentes de información

https[:]//unaaldia.hispasec.com/2020/07/malware-en-mac-la-aplicacion-kattana-es-suplantada-por-atacantes.html

https[:]//www.welivesecurity.com/2020/07/16/mac-cryptocurrency-trading-application-rebranded-bundled-malware/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 114

Fecha: 27-07-2020

Página: 10 de 13

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Nueva campaña maliciosa del malware “QSNATCH” dirigido a dispositivos NAS de QNAP

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C03

Clasificación temática familia Código malicioso

Descripción

1. Resumen:

La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) y el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido han emitido una alerta conjunta sobre la detección de dos campañas maliciosas del malware “QSnatch” dirigido a dispositivos de almacenamiento conectado a la red (NAS) de QNAP.

2. Detalles:

CISA y NCSC investigan una variedad de malware conocido como QSnatch dirigido a dispositivos NAS fabricados por la firma QNAP. Todos los dispositivos NAS de QNAP son potencialmente vulnerables al malware QSnatch si no se actualizan con los últimos parches de seguridad.

De acuerdo al análisis realizado, se muestra un número significativo de dispositivos infectados a mediados de junio de 2020, había aproximadamente 62,000 dispositivos infectados en todo el mundo; de estos, aproximadamente 7,600 en los Estados Unidos y 3,900 en el Reino Unido. Una vez que un dispositivo ha sido infectado, los atacantes pueden evitar que los administradores ejecuten con éxito las actualizaciones de firmware.

La primera campaña comenzó a principios de 2014 y continuó hasta mediados de 2017, mientras que la segunda comenzó a fines de 2018 y aún estaba activa a fines de 2019. Las dos campañas se distinguen por la carga útil inicial utilizada y algunas diferencias en las capacidades. Es importante tener en cuenta que las infraestructuras utilizadas por los actores cibernéticos maliciosos en ambas campañas no están activas actualmente, pero la amenaza sigue siendo crítica para los dispositivos que aún no han sido parcheados. El malware QSnatch es relativamente sofisticado y sus desarrolladores demuestran un alto conocimiento de la seguridad operativa.

El vector de infección no se ha identificado, pero QSnatch parece estar inyectado en el firmware del dispositivo durante la etapa de infección, y el código malicioso se ejecuta posteriormente dentro del dispositivo, comprometiéndolo. Luego, el atacante usa un algoritmo de generación de dominio (DGA) para establecer un canal de comando y control (C2) que genera periódicamente múltiples nombres de dominio para usar en comunicaciones C2.

El malware QSnatch contiene múltiples funcionalidades como: registrador de contraseña CGI, raspador de credenciales, puerta trasera SSH, exfiltración y funcionalidad de shell web para acceso remoto. Además, el malware gana persistencia al evitar que se instalen actualizaciones en el dispositivo QNAP infectado. El atacante modifica el archivo del host del sistema y redirige los nombres de dominio principales utilizados por el NAS a versiones locales desactualizadas para que nunca se puedan instalar actualizaciones.

3. Indicadores de Compromiso (IoC):

SHA256

18a4f2e7847a2c4e3c9a949cc610044bde319184ef1f4d23a8053e5087ab641b

3615f0019e9a64a78ccb57faa99380db0b36146ec62df768361bca2d9a5c27f2

845759bb54b992a6abcbca4af9662e94794b8d7c87063387b05034ce779f7d52

4. Recomendaciones:

Para evitar infecciones de malware QSnatch, CISA y NCSC se recomienda que las organizaciones tomen las medidas recomendadas en el aviso de noviembre de 2019 de QNAP, así como;

Verificar que compró los dispositivos QNAP de fuentes confiables.

Ejecutar restablecimiento completo de fábrica en el dispositivo antes de completar la actualización del firmware.

Bloquear conexiones externas de dispositivo destinado a almacenamiento interno.

Fuentes de información hxxps://us-cert.cisa.gov/ncas/alerts/aa20-209a hxxps://www.qnap.com/en/security-advisory/nas-201911-01

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 114

Fecha: 27-07-2020

Página: 11 de 13

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Detección del malware QSnatch, dirigido a dispositivos NAS QNAP

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C03

Clasificación temática familia Código malicioso

Descripción

1. El 27 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web ModernNetsec.io, se informa sobre la detección del malware QSnatch también conocido como Derek, el cual está dirigido a dispositivos de almacenamiento conectados a la red NAS de QNAP, que al ser ejecutado evita que los administradores realicen con éxito las actualizaciones de firmware en los dispositivos afectado, modificando el archivo del host del sistema y redirige los nombres de dominio principales utilizados por el NAS a versiones locales desactualizadas para que evitar que se puedan instalar actualizaciones.

El malware se inyecta en el firmware del dispositivo durante la etapa de infección y el código malicioso se ejecuta posteriormente dentro de la unidad. Luego, el atacante usa un algoritmo de generación de dominio (DGA) para establecer un canal de comando y control (C2) que genera periódicamente múltiples nombres de dominio para usar en comunicaciones C2 con solicitud HTTP GET

El objetivo del malware es aprovechar la puerta trasera o Backdoor que tienen los dispositivos QNAP, para ejecutar código arbitrario y robar archivos sensibles o alojar cargas de malware en futuras operaciones.

QSnatch contiene múltiples funcionalidades como:

o Modificar trabajos y scripts temporizados del sistema operativo (cronjob, scripts de inicio).

o Evitar futuras actualizaciones de firmware sobrescribiendo las URL de origen de la actualización.

o Impide que se ejecute la aplicación QNAP malwareremover nativa.

o El malware tiene capacidad modular para cargar nuevas funciones de los servidores de comando y control (C2) para otras actividades.

o QSnatch roba una lista predeterminada de archivos, que incluye configuraciones del sistema y archivos de registro. Estos se cifran con la clave pública del actor y se envían a su infraestructura a través de HTTPS.

o Extrae y roba nombres de usuario y contraseñas para todos los usuarios de NAS.

o Imagen:

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Indicadores de compromiso.

o Archivos analizados: Nombre: shell

Tipo: Shell script

Tamaño: 18.67 KB (19120 bytes

MD5: 8cee2a187198648c199c1d135c918a3a

SHA-1: a9f39f3b832344a79d32d92ac56c50cdaff0b93c

SHA-256:

09ab3031796bea1b8b79fcfd2b86dac8f38b1f95f0fce6bd2590361f6dcd6764

Nombre: .tmp.5g6r9e_d

Tipo: Desconocido

Tamaño: 40.68 KB (41655 bytes)

MD5: 372140d7c2c68dc2c8dc137d1a471e9f

SHA-1: 986f38a04937ede2000e8f25e59ea438ee265e24

SHA-256: 3c38e7bb004b000bd90ad94446437096f46140292a138bfc9f7e44dc136bac8d

2. Algunas Recomendaciones:

No abra archivos sospechosos.

No siga instrucciones de desconocidos.

Mantenga su antivirus actualizado.

Descargar aplicaciones de fuentes confiables.

Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.

Fuentes de información https://modernnetsec.io/aa20-209a-potential-legacy-risk-from-malware-targeting-qnap-nas-devices/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 13 de 13

Índice alfabético

Acceso no autorizado ........................................................................................................................................................ 4 bot ...................................................................................................................................................................................... 5 botnet ........................................................................................................................................................................ 2, 6, 8 botnets ............................................................................................................................................................................... 8 Código malicioso ........................................................................................................................................ 6, 7, 8, 9, 10, 11 Correo electrónico ............................................................................................................................................................. 3 exploits .............................................................................................................................................................................. 8 Intento de acceso no autorizado a base de datos ............................................................................................................. 4 internet .......................................................................................................................................................................... 3, 4 malware ....................................................................................................................................... 2, 5, 6, 7, 8, 9, 10, 11, 12 Malware ................................................................................................................................................. 5, 6, 7, 8, 9, 10, 11 Red, internet ...................................................................................................................................................................... 5 redes sociales ................................................................................................................................................................. 1, 5 Robo de información ......................................................................................................................................................... 3 servidor .......................................................................................................................................................................... 8, 9 servidores ................................................................................................................................................................ 6, 7, 11 software ......................................................................................................................................................................... 3, 8 troyanos ............................................................................................................................................................................. 5 URL ............................................................................................................................................................................... 7, 11 USB, disco, red, correo, navegación de internet ....................................................................................... 6, 7, 8, 9, 10, 11 Uso inapropiado de recursos ............................................................................................................................................. 3 Vulnerabilidades ................................................................................................................................................................ 5