lima, 12 de noviembre de 2021
TRANSCRIPT
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno y Transformación Digital de la Presidencia del Consejo de Ministros, en el marco de la
Seguridad Digital del Estado Peruano.
El objetivo de esta alerta es informar a los responsables de la seguridad digital de las entidades públicas y las
empresas privadas sobre las amenazas en el entorno digital para advertir las situaciones que pudieran afectar
la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo con lo establecido por el Decreto de Urgencia 007-2021.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas.
Lima, 12 de noviembre de 2021
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
Contenido Ransomware Conti ........................................................................................................................................ 3
El actor de amenazas DEV-0322 explota ZOHO ManageEngine ADSelfService Plus ..................................... 4
Vulnerabilidad, los compiladores permiten el control Unicode y los caracteres homoglyph....................... 5
Múltiples vulnerabilidades en las implementaciones de los servicios DDS de varios fabricantes ................ 6
Nuevo ataque de Malware que se propaga a través de “Google Play Store" ............................................... 8
Índice alfabético ..........................................................................................................................................10
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 295
Fecha: 12-11-2021
Página: 3 de 10
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Ransomware Conti
Tipo de ataque Explotación de Vulnerabilidades Abreviatura Ransonware
Medios de propagación Correo electrónico, redes sociales, entre otros
Código de familia C Código de subfamilia C09
Clasificación temática familia Código malicioso
Descripción
El 12 de noviembre de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que los operadores del troyano TrickBot están colaborando con el grupo de amenazas Shathak para distribuir sus productos, lo que finalmente lleva al despliegue del ransomware Conti en las máquinas infectadas.
El último informe se basa en un informe de IBM X-Force del mes pasado, que reveló las asociaciones de TrickBot con otras bandas de delitos cibernéticos, incluida Shathak, para entregar malware patentado. También rastreado bajo el apodo TA551, Shathak es un sofisticado actor de ciberdelincuencia dirigido a usuarios finales a escala global, que actúa como distribuidor de malware al aprovechar los archivos ZIP protegidos con contraseña que contienen documentos de Office habilitados para macros.
El modo de operación generalmente implica el envío de correos electrónicos de phishing que vienen incrustados con documentos de Word con malware que, en última instancia, conducen a la implementación de malware TrickBot o BazarBackdoor, que luego se usa como un conducto para implementar balizas Cobalt Strike, así como el ransomware, pero no antes de realizar actividades de reconocimiento, movimiento lateral, robo de credenciales y exfiltración de datos.
Se recomienda:
• Instalar y mantener actualizados los sistemas de antivirus en los dispositivos móviles y equipos del usuario.
• Mantener el software actualizado en los equipos, incluyendo los últimos parches de seguridad.
• Para proteger los sistemas contra el ransomware Conti, se deben aplicar una variedad de medidas de mitigación, que incluyen el exigir la autenticación multifactor (MFA), implementar la segmentación de la red y mantener actualizados los sistemas operativos y el software.
Fuentes de información https://thehackernews.com/2021/11/trickbot-operators-partner-with-shatak.html
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 295
Fecha: 12-11-2021
Página: 4 de 10
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta El actor de amenazas DEV-0322 explota ZOHO ManageEngine ADSelfService Plus
Tipo de ataque Captura de información confidencial Abreviatura CIC
Medios de propagación Red, internet
Código de familia K Código de subfamilia K02
Clasificación temática familia Uso inapropiado de recursos
Descripción
Fecha del evento:
A través del monitoreo y búsqueda de amenazas en el ciberespacio del día 12 de noviembre de 2021, se tomó conocimiento a través de la publicación realizada en la página web de “Microsoft” que se ha detectado exploits que se utilizan para comprometer los sistemas que ejecutan las versiones del software ZOHO ManageEngine ADSelfService Plus vulnerables a CVE-2021-40539 en una campaña específica.
Antecedentes:
CVE-2021-40539 es considerado crítico ya que puede permitir que un atacante remoto no autenticado ejecute código arbitrario en un sistema vulnerable.
Detalles:
Realiza volcado de credenciales, DEV-0322 también implementó ocasionalmente una herramienta para leer específicamente los registros de eventos de seguridad y buscar eventos con ID de evento 4624. su herramienta recopilaría dominios, nombres de usuario y direcciones IP y los escribiría en el archivo elrs.txt.
Después de obtener las credenciales, se observó que DEV-0322 se movía lateralmente a otros sistemas en la red y soltaba un módulo IIS personalizado.
Además de un módulo IIS personalizado, DEV-0322 también implementó un troyano al que llamamos Trojan: Win64 / Zebracon. Este troyano utiliza credenciales codificadas para establecer conexiones con servidores de correo electrónico Zimbra sospechosos de estar comprometidos con DEV-0322.
El malware Zebracon utiliza estas operaciones para recibir comandos del buzón de correo controlado por DEV-0322.
Los archivos relacionados con el troyano Zebracon tienen los siguientes metadatos:
• Nombre de empresa: Synacor. Inc.,
• descripción del archivo: Zimbra Soap Suites, Zimbra Soap Tools
• Nombre interno: newZimbr.dll, zimbra-controller-dll.dll
• Nombre de archivo original: newZimbr.dll , ZIMBRA-SOAP.DLL.
Recomendaciones:
Microsoft continuará monitoreando la actividad de DEV-0322 e implementando protecciones para sus clientes. Las detecciones actuales, las detecciones avanzadas y las IOC implementadas en nuestros productos de seguridad se encuentran en Microsoft 365 Defender detections.
Fuentes de información hxxps://www.microsoft.com/security/blog/2021/11/08/threat-actor-dev-0322-exploiting-zoho-manageengine-adselfservice-plus/
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 295
Fecha: 12-11-2021
Página: 5 de 10
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Vulnerabilidad, los compiladores permiten el control Unicode y los caracteres homoglyph
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
El 12 de noviembre de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tomo conocimiento de la información publicada por ” Instituto de Ingeniería de Software-USA” , dando a conocer nota de vulnerabilidad VU # 999008, donde Los compiladores permiten el control Unicode y los caracteres homoglyph.
Los ataques que permiten el control involuntario de caracteres Unicode y homoglyphic, descritos por los investigadores en este informe, aprovechan la codificación de texto que puede hacer que el código fuente sea interpretado de manera diferente por un compilador de lo que parece visualmente para un revisor humano. Los compiladores de código fuente, los intérpretes y otras herramientas de desarrollo pueden permitir el control Unicode y los caracteres homoglyph, cambiando el significado visualmente aparente del código fuente.
Detalles:
• Las codificaciones de texto internacionalizadas requieren soporte tanto para idiomas de izquierda a derecha como para idiomas de derecha a izquierda. Unicode tiene funciones integradas para permitir la codificación de caracteres para tener en cuenta el orden bidireccional o Bidi. En estas funciones se incluyen caracteres que representan funciones no visuales. Estos caracteres, así como los caracteres de otros conjuntos de lenguajes humanos (es decir, inglés frente a cirílico) también pueden introducir ambigüedades en la base del código si se utilizan incorrectamente.
• Este tipo de ataque podría potencialmente usarse para comprometer una base de código al capitalizar una brecha en el código fuente renderizado visualmente como lo vería un revisor humano y el código sin procesar que el compilador evaluaría.
• El uso de ataques que incorporan código fuente codificado de forma malintencionada puede pasar desapercibido
para los desarrolladores humanos y muchas herramientas de codificación automatizadas. Estos ataques también funcionan contra muchos de los compiladores actualmente en uso. Un atacante con la capacidad de influir en el código fuente podría introducir una ambigüedad no detectada en el código fuente mediante este tipo de ataque.
Recomendaciones:
• La defensa más simple es prohibir el uso de caracteres de control de direccionalidad del texto tanto en las especificaciones del lenguaje como en los compiladores que implementan estos lenguajes.
• Se asignaron dos CVE para abordar los dos tipos de ataques descritos en este informe.
• CVE-2021-42574 se creó para rastrear el ataque Bidi. CVE-2021-42694 fue creado para rastrear el ataque de homoglyph.
Fuentes de información hxxps://kb.cert.org/vuls/id/999008
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 295
Fecha: 12-11-2021
Página: 6 de 10
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Múltiples vulnerabilidades en las implementaciones de los servicios DDS de varios fabricantes
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet, entre otros
Código de familia H Código de subfamilia H01
Clasificación temática familia Intrusión
Descripción
Resumen:
Varios investigadores han reportado múltiples vulnerabilidades de severidad ALTA y MEDIA de tipo condición de escritura en qué lugar, manejo inadecuado de una estructura sintácticamente no válida, amplificación de la red, cálculo incorrecto del tamaño del búfer, desbordamiento de búfer basado en el montón, manejo inadecuado de la inconsistencia de los parámetros de longitud, amplificación, desbordamiento de búfer basado en la pila en múltiples implementaciones del Servicio de distribución de datos (DDS) del Grupo de administración de objetos (OMG) y de código abierto de varios fabricantes. La explotación exitosa de estas vulnerabilidades podría resultar en condiciones de denegación de servicio o desbordamiento de búfer, que pueden conducir a la ejecución remota de código o la exposición de la información.
Detalles:
• Las vulnerabilidades de severidad ALTA identificadas como CVE-2021-38425, CVE-2021-38447, CVE-2021-38429, CVE-2021-38487 y CVE-2021-43547 en las implementaciones de OMG DDS Fast DDS, OpenDDS, los productos RTI y CoreDX DDS presentan vulnerabilidades de consumo incontrolado de recursos, lo que podría permitir a un atacante causar una condición de denegación de servicio o exponer información, mediante el envío de un paquete especialmente diseñado al dispositivo.
• La vulnerabilidad de severidad ALTA identificada como CVE-2021-38439 en la implementación de OMG DDS GurumDDS presenta una vulnerabilidad de desbordamiento de búfer basado en memoria dinámica, que podría permitir a un atacante causar una condición de denegación de servicio o ejecutar código arbitrario de forma remota.
• La vulnerabilidad de severidad ALTA identificada como CVE-2021-38445 en la implementación de OMG DDS OpenDDS presenta una vulnerabilidad de gestión inadecuada del parámetro de longitud asociado a los datos, lo que podría permitir a un atacante remoto ejecutar código arbitrario.
• Para las vulnerabilidades de severidad MEDIA se han asignado los identificadores: CVE-2021-38441, CVE-2021-38443, CVE-2021-38423, CVE-2021-38427, CVE-2021-38433 y CVE-2021-38435.
Productos afectados:
• Eclipse CycloneDDS, todas las versiones anteriores a la 0.8.0;
• eProsima Fast DDS, todas las versiones anteriores a la 2.4.0 (#2269);
• GurumNetworks GurumDDS, todas las versiones;
• Object Computing, Inc. (OCI) OpenDDS, todas las versiones anteriores a la 3.18.1;
• Real-Time Innovations (RTI) Connext DDS Professional y Connext DDS Secure, versiones de la 4.2x a la 6.1.0;
• RTI Connext DDS Micro, versión 3.0.0 y posteriores;
• TwinOaks Computing CoreDX DDS, todas las versiones anteriores a la 5.9.1.
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
Solución:
CISA recuerda a las organizaciones que deben realizar un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas. Asimismo, los fabricantes afectados recomiendan actualizar los productos afectados con la última versión disponible que corrige estas vulnerabilidades:
• CycloneDDS con el último parche;
• Fast DDS con el último parche;
• OpenDDS a la versión 3.18.1 o posterior;
• productos RTI con el último parche;
• CoreDX DDS a la versión 5.9.1 u otra posterior.
Fuentes de información ▪ hxxps://us-cert.cisa.gov/ics/advisories/icsa-21-315-02 ▪ hxxps://www.incibe-cert.es/alerta-temprana/avisos-sci/multiples-vulnerabilidades-
servicios-dds-varios-fabricantes
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 295
Fecha: 12-11-2021
Página: 8 de 10
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Nuevo ataque de Malware que se propaga a través de “Google Play Store"
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
A través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha detectado que piratas informaticos, vienen llevando a cabo un nuevo ataque, dirigidas a usuarios de la plataforma de “Google Play Store”, con la propagación de la App “Fancy Themes Message”, que contiene el Malware conocido como “Joker”, con el objetivo tomar control absoluto del dispositivo móvil.
• Funciones gratuitas que ofrece la App.
o Agregue varios contactos al mensaje para ingresar al modo de mensaje de grupo.
o Bloquea mensajes de contactos específicos.
o Silencia las notificaciones no deseadas.
o Recordarle mensajes nuevos a través de notificaciones o ventanas emergentes.
o Responde rápidamente al mensaje de la notificación.
o Usa stickers, gif y emojis para expresarte en el chat.
• Detalles:
o Versión actual: 2.0.0.2
o Tamaño: 19M
o Requiere Android: 5.0 y versiones posteriores
o Paquete: com.fancy.messages.theme
o Desarrollador: Heath Craig
o Actualizado: 6 de noviembre de 2021
o Precio: Gratis
De las acciones de Ciberseguridad, se realizó un análisis profundo de la App “Fancy Themes Message”, a fin de determinar el grado de confianza y la detección de algún malware que pudiera poner en riesgo a los dispositivos Android, teniendo como resultado lo siguiente:
• Análisis del paquete de Android: com.fancy.messages.theme
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
• Otros resultados:
• Archivos comprometidos:
o MD5: 47fca3c0277c1a1083271c3860168d67
o SHA-1: 30947ac4d371da3eff6450388b2aff12c42967ff
o SHA-256: d872d94634cc2eed5fa77e09175edbb5b02444a723eb2a1c54b5229c5cdcd0cb
o Tamaño: 15,88 MB (16653925 bytes)
o Nombre de Paquete: com.fancy.messages.theme
• Tipología:
Recomendaciones:
• Sustenta las descargas a través de Google Play Store.
• Verifica la información de la App visitando el sitio web de los desarrolladores.
• Contar con una solución de seguridad para bloquear contenidos no deseados.
• Evitar las aplicaciones milagrosas y los clones.
• Actualiza el sistema de tu dispositivo constantemente.
Fuentes de información Análisis propio de redes sociales y fuente abierta.
Observación: Se detecta que la App en cuestión, contiene Malware uno de ellos conocido como
“Joker” que está diseñado para robar mensajes SMS, lista de contactos e información del
dispositivo, además de suscribir de manera oculta a usuarios en servicios de pago.
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
Página: 10 de 10
Índice alfabético
Captura de información confidencial ................................................................................................................................ 4 Código malicioso ............................................................................................................................................................ 3, 8 Correo electrónico ............................................................................................................................................................. 3 Correo electrónico, redes sociales, entre otros ................................................................................................................ 3 exploits............................................................................................................................................................................... 4 Explotación de vulnerabilidades conocidas ................................................................................................................... 5, 6 Intento de intrusión ........................................................................................................................................................... 5 IOC ..................................................................................................................................................................................... 4 malware ..................................................................................................................................................................... 3, 4, 8 Malware ............................................................................................................................................................................. 8 phishing ............................................................................................................................................................................. 3 ransomware ....................................................................................................................................................................... 3 Ransomware ...................................................................................................................................................................... 3 Red, internet .............................................................................................................................................................. 4, 5, 6 redes sociales ................................................................................................................................................................. 1, 9 servidores .......................................................................................................................................................................... 4 software ......................................................................................................................................................................... 3, 4 USB, disco, red, correo, navegación de internet ............................................................................................................... 8 Uso inapropiado de recursos ............................................................................................................................................. 4 Vulnerabilidad .................................................................................................................................................................... 5 Vulnerabilidades ................................................................................................................................................................ 3