lima, 13 de noviembre de 2020
TRANSCRIPT
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 13 de noviembre de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido Malware de jupyter roba datos del navegador y abre una puerta trasera ................................................... 3
La falla de alta gravedad de Cisco DoS puede inmovilizar enrutadores ASR. ............................................... 4
Filtración de la base de datos ........................................................................................................................ 5
Ataque de denegación de servicio a la URL del Poder Judicial del Perú ....................................................... 6
Vulnerabilidad de escalamiento de privilegios local en Nagios XI ................................................................ 7
Detección de una nueva variedad de Malware denominado CostaRicto ..................................................... 8
Índice alfabético ..........................................................................................................................................10
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N°223
Fecha: 13-11-2020
Página: 3 de 10
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS / CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Malware de jupyter roba datos del navegador y abre una puerta trasera
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. El 13 de noviembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento acerca de los piratas informáticos de habla rusa quienes han estado utilizando un nuevo malware para robar información de sus víctimas llamada Jupyter, la amenaza ha mantenido un perfil bajo y se ha beneficiado de un ciclo de desarrollo rápido.
2. Si bien el propósito de Jupyter es recopilar datos de varios software, el código malicioso que respalda su entrega también se puede usar para crear una puerta trasera en un sistema infectado.
3. Una variante del malware surgió durante un compromiso de respuesta a incidentes en octubre en una universidad de EE. UU. Pero los datos forenses indican que se han desarrollado versiones anteriores desde mayo.
4. Los investigadores de la empresa de ciberseguridad Morphisec descubrieron que los desarrolladores del kit de ataque eran muy activos y algunos componentes recibían más de nueve actualizaciones en un solo mes.
5. La versión más reciente se creó a principios de noviembre, pero no incluye cambios significativos. Sin embargo, la modificación constante del código le permite evadir la detección y permite a Jupyter recopilar más datos de los sistemas comprometidos. Jupyter está basado en .NET y se enfoca en robar datos de los navegadores web Chromium, Mozilla Firefox y Google Chrome: cookies, credenciales, certificados, información de autocompletar.
6. La entrega del ladrón comienza con la descarga de un instalador (ejecutable Inno Setup) en un archivo ZIP que se hace pasar por software legítimo, algunos de estos instaladores pasaron completamente desapercibidos en la plataforma de escaneo Virus Total durante los últimos seis meses.
7. El instalador aprovecha la técnica de vaciado de procesos para inyectar en la memoria de un proceso un cargador .NET que actúa como cliente para el servidor de comando y control, el cliente luego descarga la siguiente etapa, un comando de PowerShell que ejecuta el módulo .NET de Jupyter en memoria.
8. Todas estas capacidades (el cliente C2, descarga y ejecución de malware, scripts y comandos de PowerShell y la técnica de vaciado de procesos) habilitan las funciones de puerta trasera extendidas.
9. Se recomienda:
No descargues archivos de sitios de dudosa reputación.
Mantén los programas y el sistema operativo actualizados.
No confíes en e-mails con programas o archivos ejecutables adjuntos.
Cuando recibes archivos adjuntos, presta especial atención a su extensión.
Evita el software ilegal y pirata, ya que puede contener malware.
Cuenta con un software antivirus con capacidad proactiva de detección.
Fuentes de información https[:]//www.bleepingcomputer.com/news/security/new-jupyter-malware-steals-browser-data-opens-backdoor/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N°223
Fecha: 13-11-2020
Página: 4 de 10
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta La falla de alta gravedad de Cisco DoS puede inmovilizar enrutadores ASR. Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet. Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión
Descripción
1. El 12 de noviembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por el equipo de seguridad de Cisco y la página web “Threatpost”, quienes han reportado una falla de alta gravedad en el software IOS XR de Cisco, que podría permitir a atacantes remotos no autenticados inutilizar los enrutadores de servicios de agregación de Cisco (ASR).
2. La falla proviene de Cisco IOS XR, un tren del Sistema Operativo de internetworking (IOS) ampliamente implementado de Cisco Systems. El sistema operativo impulsa la serie Cisco ASR 9000, que son enrutadores completamente distribuidos diseñados para abordar los aumentos masivos en el tráfico de video.
3. La vulnerabilidad (CVE-2020-26070), se debe a un problema con la función de procesamiento de paquetes de entrada del software Cisco IOS XR. El procesamiento de paquetes de entrada es una técnica que se utiliza para clasificar los paquetes entrantes de diferentes redes.
4. La vulnerabilidad también se debe a una asignación inadecuada de recursos cuando un dispositivo afectado procesa el tráfico de red. Un atacante podría aprovechar la falla enviando flujos específicos de unidades de datos de protocolo (PDU) de Capa 2 o Capa 3 a un dispositivo afectado, agotando finalmente sus recursos de búfer y bloqueando el dispositivo.
5. Esta vulnerabilidad afecta a los routers de la serie Cisco ASR 9000 si ejecutan una versión del software Cisco IOS XR anterior a las versiones 6.7.2 o 7.1.2.
6. Se recomienda lo siguiente:
Actualizar a las versiones 6.7.2 y posteriores del software Cisco IOS XR y versiones 7.1.2 y posteriores.
Reiniciar los dispositivos afectados para recuperar la funcionalidad.
Fuentes de información https[:]//threatpost.com/high-severity-cisco-dos-flaw-asr-routers/161115/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N°223
Fecha: 13-11-2020
Página: 5 de 10
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Filtración de la base de datos Tipo de ataque Robo de información Abreviatura RobInfo Medios de propagación Red, internet, redes sociales Código de familia K Código de subfamilia K01 Clasificación temática familia Uso inapropiado de recursos
Descripción
1. El 12 de noviembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que el hacker identificado “Sin1peCrew” realizó la filtración de la base de datos de la página web de la Municipalidad Provincial de Ilo (mpi.gob.pe).
Fuentes de información Comandancia de Ciberdefensa de la Marina, OSINT.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N°223
Fecha: 13-11-2020
Página: 6 de 10
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Ataque de denegación de servicio a la URL del Poder Judicial del Perú Tipo de ataque Denegación de servicio DoS Abreviatura DoS Medios de propagación Red, correo, navegación de internet Código de familia F Código de subfamilia F02 Clasificación temática familia Disponibilidad del Servicio
Descripción
1. El 13 de noviembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de una publicación en la red social Twitter, de un ataque tipo Denegación de Servicio (DoS) que se realizó a la página web del Poder Judicial del Perú (https[:]//www.pj.gob.pe/), asi como [#ameicatv].
Fuentes de información Comandancia de Ciberdefensa de la Marina, OSINT.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 223
Fecha: 13-11-2020
Página: 7 de 10
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Vulnerabilidad de escalamiento de privilegios local en Nagios XI
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. Resumen:
El investigador Chris Lyne de Nagios ha reportado una vulnerabilidad de severidad ALTA de tipo escalamiento de privilegios locales que afecta al software de supervisión de redes Nagios XI. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante local editar autodiscover_new.php y luego ejecutar código PHP arbitrario como root en Nagios XI.
2. Detalles:
Existe una vulnerabilidad en /usr/local/nagiosxi/scripts/components/autodiscover_new.php que podría permitir a un usuario local modificar los permisos de un archivo arbitrario, y que el archivo sea propiedad (y pueda escribirlo) del usuario 'nagios'. Esto podría ser explotado por usuarios con pocos privilegios que podrían ejecutar autodiscover_new.php usando 'sudo' (por ejemplo, nagios y apache) - permitiendo en última instancia la ejecución de código PHP arbitrario con privilegios de root.
En archivo / etc / sudoers, los usuarios de 'apache' y 'nagios' podrían ejecutar el archivo autodiscover_new.php usando sudo con cualquier argumento:
User_Alias NAGIOSXI = nagios
User_Alias NAGIOSXIWEB = apache
NAGIOSXI TODOS = NOPASSWD: / usr / bin / php /usr/local/nagiosxi/scripts/components/autodiscover_new.php *
NAGIOSXIWEB TODOS = NOPASSWD: / usr/ bin / php /usr/local/nagiosxi/scripts/components/autodiscover_new.php*
Los usuarios de nagios y apache podrían ejecutar este archivo con privilegios de root. Además, el usuario de nagios podría aprovechar para modificar los permisos de los archivos de propiedad raíz para permitir el acceso de escritura. Por lo cual, el usuario de nagios podría sobrescribir el archivo autodiscover_new.php y modificar sus privilegios para permitir el acceso de escritura. Esto permite al usuario de nagios editar autodiscover_new.php y luego ejecutar código PHP arbitrario como root.
También, el servicio “npcd” se podría ejecutar como usuario de nagios. El archivo de configuración se podría modificar para lanzar binarios arbitrarios con parámetros diseñados.
El archivo /etc/sudoers también permite al usuario de apache administrar el servicio “npcd” usando /usr/local/nagiosxi/scripts/manage_services.sh con sudo.
En última instancia, el usuario de apache tiene permiso para modificar la configuración de inicio del servicio “npcd” de modo que autodiscover_new.php se sobrescriba con código PHP. Esto luego se podría ejecutar con privilegios elevados usando sudo. La posible escalada de privilegios local, podría aprovechar en combinación con una vulnerabilidad basada en la web.
CVE-2020-5796
3. Productos afectados: Nagios XI versión 5.7.4
4. Solución: Nagios XI recomienda actualizar su versión afectada a la versión 5.7.5 o más reciente.
Fuentes de información hxxps://www.tenable.com/security/research/tra-2020-61
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 223
Fecha: 13-11-2020
Página: 8 de 10
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección de una nueva variedad de Malware denominado CostaRicto
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. El 13 de noviembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “Masterhacks”, se informa sobre la detección de una variedad de Malware indocumentado denominado CostaRicto, dirigido a instituciones financieras y empresas de entretenimiento de todo el mundo. CostaRicto, posee herramientas complejas con capacidades de túnel SSH y proxy VPN, para realizar su campaña maliciosa.
2. Detalles:
El malware CostaRicto, cuenta con un conjunto de herramientas para su ejecución:
o SombRAT. - Una puerta trasera personalizada (con versiones x86 y x64).
o CostaBricks. - Un cargador de carga útil personalizado basado en VM.
o Módulo de inyección de PE reflectante de PowerSploit.
o Stagers de carga útil HTTP y DNS inverso
o Nmap. - Escáner de puertos
o PsExec.
CostaRicto al ejecutarse y obtener un punto de apoyo inicial en el entorno del objetivo a través de credenciales robadas, los actores de la amenaza proceden a configurar un túnel SSH, para descargar una puerta trasera y un cargador de carga útil llamado CostaBricks, que implementa un mecanismo de máquina virtual C++ para decodificar e inyectar la carga útil del código de bytes en la memoria.
Además de administrar servidores de comando y control (C2) a través de un túnel de DNS, la puerta trasera entregada por los cargadores mencionados es un ejecutable compilado en C++ llamado SombRAT.
Los servidores de comando y control (C2) se administran a través de Tor y/o mediante una capa de proxies; También se establece una compleja red de túneles SSH en el entorno de la víctima.
La puerta trasera viene equipada con 50 comandos diferentes para llevar a cabo tareas específicas y se clasifican en funciones de núcleo, tarea, configuración, almacenamiento, depuración y red, que van desde inyectar archivos DLL maliciosos en la memoria hasta enumerar archivos almacenados en el dispositivo de la víctima y extraer los datos capturados para un servidor controlado por los actores de la amenaza.
Imagen.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Indicadores de compromiso.
o Archivos analizados: Nombre: svolcdst.exe Tipo: Win32 EXE Tamaño: 474.00 KB (485376 bytes) MD5: 8b54da23ed16dca00d3188f419d697ea SHA-1: 54bf0c8d459bfc8aad0eddcbffbcb51cc18000a1 SHA-256: 130fa726df5a58e9334cc28dc62e3ebaa0b7c0d637fce1a66daff66ee05a9437
Nombre: invalid-rich-pe-linker-version Tipo: Win32 EXE Tamaño: 474.00 KB (485376 bytes) MD5: a6a34370a0ae552a4266b920738d3b14 SHA-1: a5bb2437e9f30a9271f90e7d1fe381a521e8b007 SHA-256: 8062e1582525534b9c52c5d9a38d6b012746484a2714a14febe2d07af02c32d5
3. Recomendaciones
Instala un software antivirus.
Hacer copias de seguridad periódicas
No navegar por internet estando logueado como administrador
Siempre ten presente que los ciberdelincuentes, quieren obtener siempre tus datos personales.
Fuentes de información https[:]//blogs.masterhacks.net/noticias/hacking-y-ciberdelitos/detectan-a-grupo-de-hackers-a-sueldo-que-apuntan-a-empresas-financieras-y-de-entretenimiento/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 10 de 10
Índice alfabético
Código malicioso ............................................................................................................................................................ 3, 8 Denegación de servicio DoS .............................................................................................................................................. 6 Explotación de vulnerabilidades conocidas ................................................................................................................... 4, 7 Intento de intrusión ....................................................................................................................................................... 4, 7 internet .............................................................................................................................................................................. 9 malware ......................................................................................................................................................................... 3, 8 Malware ......................................................................................................................................................................... 3, 8 Red, correo, navegación de internet ................................................................................................................................. 6 Red, internet .............................................................................................................................................................. 4, 5, 7 Red, internet, redes sociales ............................................................................................................................................. 5 redes sociales ..................................................................................................................................................................... 1 servidor .......................................................................................................................................................................... 3, 8 servidores .......................................................................................................................................................................... 8 software ................................................................................................................................................................. 3, 4, 7, 9 URL ..................................................................................................................................................................................... 6 USB, disco, red, correo, navegación de internet ........................................................................................................... 3, 8 Uso inapropiado de recursos ............................................................................................................................................. 5 Vulnerabilidad.................................................................................................................................................................... 7