Embed Size (px)
Citation preview
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 19 de noviembre de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido El nuevo troyano Jupyter que se actualiza como las apps para crear puertas traseras ............................... 3
Se revela exploits que afectan a los productos Cisco Security Manager ...................................................... 5
Aplicación GO SMS PRO, expone medios transferidos por los usuarios ....................................................... 6
La falla de Cisco Webex abre las reuniones al espionaje .............................................................................. 7
Suplantación de entidad bancaria ................................................................................................................. 8
Aplicación maliciosa “Messenger.apk” ......................................................................................................... 9
Índice alfabético ..........................................................................................................................................11
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 229
Fecha: 19-11-2020
Página: 3 de 11
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta El nuevo troyano Jupyter que se actualiza como las apps para crear puertas traseras
Tipo de ataque Troyano Abreviatura
Medios de propagación Correo electrónico, red e internet
Código de familia C Código de subfamilia C01
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte que la compañía de ciberseguridad Panda Security ha alertado sobre la creciente actividad de Jupyter, un malware de tipo troyano que se actualiza de forma periódica para crear puertas traseras en los sistemas y cuyo objetivo es robar todas las contraseñas almacenadas en los llaveros de los ordenadores y móviles de sus víctimas.
2. Detalles de la alerta:
El malware Jupyter está basado en .NET y se enfoca en robar datos de los navegadores web Chromium, Mozilla Firefox y Google Chrome: cookies, credenciales, certificados, información de autocompletar. De este modo, es posible obtener acceso a la cuenta corriente, tarjetas de crédito, tiendas 'online' en las que haya hecho compras, correo electrónico y redes sociales de sus víctimas.
Asimismo, la entrega del malware comienza con la descarga de un instalador en un archivo ZIP que se hace pasar por software legítimo. El instalador aprovecha la técnica de vaciado de procesos para inyectar en la memoria de un proceso un cargador .NET que actúa como cliente para el servidor de comando y control (C2).
Cabe precisar, el mayor riesgo de esta nueva ciberamenaza es que, además de recopilar datos, su código está diseñado para dejar puertas traseras abiertas en los sistemas que infecta. De esta manera, los ciberdelincuentes pueden volver acceder fácilmente al ordenador de una víctima, recopilar la información que ha robado y de paso, instalar más malware con el que puede minar criptomonedas o infectar del mismo virus otros dispositivos.
3. Indicadores de Compromiso (IoC):
SHA-256:
o 3e99b59df79d1ab9ff7386e209d9135192661042bcdf44dde85ff4687ff57d01
o ee904ce81c66b774897f93b0301e297a9137295516d57ba1c4e078a383cbce39
o f16630378ba5cd07f2e131f3afa483c6f722406702d9201450c3be17f8b1081e
o a1a9137dea275aa805e5640f6450366dbf6e10be066e5c12c34904e45e469c4c
o 79ab214c60b04d7570b8759a1ada8542665f1c129f33d1c0be693c3e2c8a4a07
o 9d63af1cb88bb6b65e1d6c1f4467a728aeff1b8d07c2ef8c9b2e2f40b696a154
o fe2d39309d8bf3d85cacc2308bd36d149bc27f59f95c02b77a1f9f897291a933
o 33d7f3bb788ea4bf9fffba9e528ec62ad38f02d03e63f78e427238f90a9ac75d
o 30e527e45f50d2ba82865c5679a6fa998ee0a1755361ab01673950810d071c85
o 5fafaa6539a7360f5a5ccf5c46b5c25e555fc7e11ada655ebd49588ca91b9fcc
o 06cc1870c2d26b38b13a8dc2e59a302a5454c61e756aee37cbf794fb51af0ba3
o 3147cd2ee6938d50d2cdc7e157ad1125de2229bb35454cbde502746d6a36154d
o ce486097ad2491aba8b1c120f6d0aa23eaf59cf698b57d2113faab696d03c601
o c23957924eb604f3844f9e9c6c569c0a3aa6f60edc4ba4ecd42a68eaee3b8e02
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
MD5:
o 7be0725643c89e332b0434536a96de50
o e56ad54905b09c1345207b7fdddf21c6
o 4103ba80694bab9cdd83df5a527378aa
o 63c9ace2fb8d1cb7eccf4e861d0e4e45
o 68db973cf2382e3c6825733a5252da97
o dbff4b0b195a9c771966d775ae9c1d4e
o 8be8e3a1c75b777debbd3b91472917db
o d30aa0149240031aafd4f57566cefb8d
o 4eb6170524b5e18d95bb56b937e89b36
o a51243c0198a599b535aac26657a01f9
o d393a39e20efbf2ee4123992f9475eba
o 1b341ab4421cdf28427858700ef41deb
o 927e2e5292baa585c00681b3e11e60b5
o ebfe852fa069ec65ffdd651b9fd3be0a
Dominios:
o gogohid[.]com
o spacetruck[.]biz
o blackl1vesmatter[.]org
o mixblazerteam[.]com
o vincentolife[.]com/j
o o-offtrack[.]biz
IPs:
o 45[.]135[.]232[.]131
o 45[.]146[.]165[.]222
o 45[.]146[.]165[.]219
o 91[.]241[.]19[.]21
4. Recomendaciones:
Evaluar bloqueo preventivo de los indicadores de compromiso.
Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.
No abrir correos electrónicos de dudosa procedencia, ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.
Si detecta cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.
Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 229
Fecha: 19-11-2020
Página: 5 de 11
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Se revela exploits que afectan a los productos Cisco Security Manager
Tipo de ataque Exploits Abreviatura Exploits
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C01
Clasificación temática familia Código malicioso
Descripción
1. El 19 de noviembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento acerca de la publicación del código de varias pruebas que afectan al interfaz web de los productos Cisco Security Manager (CSM).
2. El motivo de la revelación se debe a que, varios meses después de que el investigador reportara varias vulnerabilidades que afectaban a los productos CSM al equipo de respuesta ante incidentes de Cisco (PSIRT), Cisco hizo pública una actualización para los productos CSM que no hacía referencia a ninguna de las vulnerabilidades reportadas.
3. Tras revisar las notas de la versión, el investigador observó que no se le mencionaba, posteriormente se hizo público un tweet donde mencionaba que había revelado el código de las pruebas de concepto de las vulnerabilidades reportadas, el investigador hizo público el código y continúa siendo accesible a día de hoy a través de su GitHub.
4. Tras la publicación de las pruebas, Cisco ha publicado un aviso de seguridad donde se hace mención a las vulnerabilidades reportadas, con identificadores CVE-2020-27130 y CVE-2020-27131.
CVE-2020-27130: Una validación inadecuada de los caracteres de desplazamiento entre directorios permite a un atacante, sin necesidad de autenticarse, acceder a información sensible aprovechando la vulnerabilidad de «Path Traversal».
CVE-2020-27131: Múltiples vulnerabilidades relacionadas con la «deserialización» insegura de objetos Java, permitirían a un atacante llevar a cabo ejecución remota de comandos.
5. Aun no existe parche de seguridad para todas las vulnerabilidades, ya que la versión recientemente publicada, tan solo corrige las vulnerabilidades relacionadas con el identificador CVE-2020-27130, y no con las vulnerabilidades relacionadas con la «deserialización» de objetos Java (CVE-2020-27131), sin embargo, Cisco ha mencionado públicamente que está trabajando de forma urgente en una nueva actualización del software (4.23) que las mitigue.
6. Se recomienda:
Descargar desde la plataforma web Cisco el parche actualizado, esta es la mejor barrera contra las vulnerabilidades.
Mantener nuestro sistema actualizado, ya que es de esta manera como tendremos la mayor seguridad posible.
Una correcta configuración de los sistemas de seguridad integrados es fundamental, incrementando la seguridad del firewall, manteniendo actualizadas las bases de datos de virus, o instalando soluciones completas de antivirus, antiphishing y antimalware.
Fuentes de información hxxps://unaaldia.hispasec.com/2020/11/revelados-varios-exploits-que-afectan-a-los-productos-cisco-security-manager.html
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 229
Fecha: 19-11-2020
Página: 6 de 11
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Aplicación GO SMS PRO, expone medios transferidos por los usuarios Tipo de ataque Divulgación no autorizada de información personal Abreviatura DivNoActInfoPer Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros Código de familia A Código de subfamilia A02 Clasificación temática familia Acceso no autorizado
Descripción
1. El 19 de noviembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por los investigadores de “The Hacker News”, quienes han detectado una falla de seguridad en la aplicación GO SMS PRO, que expone públicamente los medios transferidos entre los usuarios incluyendo los mensajes de voz, fotos y videos.
2. Esto significa que cualquier tipo de medios de comunicación compartido entre los usuarios de esta aplicación messenger está en riesgo de ser comprometida por un atacante no autenticado.
3. De acuerdo a Trustwave SpiderLabs, el inconveniente fue descubierto en la versión 7.91 de la aplicación.
4. GO SMS Pro, una popular aplicación de mensajería para Android con más de 100 millones de instalaciones.
5. Si el destinatario tiene el GO SMS Pro aplicación en su dispositivo, los medios de comunicación se mostrarán automáticamente dentro de la aplicación, sin embargo, si el destinatario no tiene la GO SMS Pro aplicación instalada, el archivo de medios se envía al destinatario como una URL a través de SMS. El usuario puede, hacer clic en el enlace y ver el archivo multimedia a través de un navegador.
6. Se recomienda actualizar a la versión 7.93 de GO SMS PRO, actualizada el 18 nov 2020.
Fuentes de información hxxps[:]//thehackernews.com/2020/11/warning-unpatched-bug-in-go-sms-pro-app.html
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 229
Fecha: 19-11-2020
Página: 7 de 11
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta La falla de Cisco Webex abre las reuniones al espionaje
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet.
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. El 19 de noviembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por
los investigadores de seguridad de Cisco, quienes han reportado una vulnerabilidad en la aplicación de conferencias
Webex de Cisco, que podría permitir que un asistente actúe como un "fantasma" en la reunión, permitiéndole espiar
secretos potencialmente confidenciales.
2. La vulnerabilidad es identificada con el código (CVE-2020-3419) y es clasificada con crítica, permite que un atacante remoto se una a una sesión de Webex sin aparecer en la lista de participantes.
3. La vulnerabilidad existe debido al manejo inadecuado de los tokens de autenticación por parte de un sitio de Webex
vulnerable. Un atacante remoto puede enviar solicitudes especialmente diseñadas y unirse a reuniones, sin aparecer
en la lista de participantes, mientras tiene acceso completo a las capacidades de audio, video, chat y uso compartido
de pantalla.
4. La vulnerabilidad afecta a las siguientes versiones: Cisco WebEx Meetings Server: 3.0MR3 parche4, 4.0MR3 parche3, reuniones de Cisco Webex: 40.10.9
5. Se recomienda lo siguiente:
- Aplicar el parche para la vulnerabilidad que se encuentra en el Security Manager de Cisco. - Tener cuidado con la información expuesta en las herramientas de videoconferencias, reuniones, entre otros.
Fuentes de información https[:]//threatpost.com/cisco-webex-flaw-snooping/161355/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 229
Fecha: 19-11-2020
Página: 8 de 11
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Suplantación de entidad bancaria Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros Código de familia G Código de subfamilia G02 Clasificación temática familia Fraude
Descripción
1. El 19 de noviembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó la circulación de mensajes de texto (SMS) suplantando una entidad bancaria, donde informa al usuario que “tiene una transferencia retenida, para activar tus operaciones y evitar el bloqueo temporal de su cuenta ingrese aquí: hxxp://bit.ly/-ViaBcp”. Asimismo, dicha campaña tiene como finalidad robar datos personales y credenciales de cuentas bancarias.
2. Por otro lado, se analizó dicho enlace en la página de “Virus Total”, donde es catalogado como phishing.
3. Recomendaciones:
Evitar ingresar a enlaces no confiables.
Evitar descargar y abrir archivos de fuentes no confiables.
Mantener los equipos protegidos, con el software actualizado.
Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 229
Fecha: 19-11-2020
Página: 9 de 11
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Aplicación maliciosa “Messenger.apk” Tipo de ataque Troyano Abreviatura Troyano Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C01 Clasificación temática familia Código malicioso
Descripción
1. El 19 de noviembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó un nuevo aplicativo fraudulento denominada “Messenger.apk”, que viene circulando por redes sociales, el cual invita al usuario descargar e instalarlo desde una tienda de aplicaciones digitales. Para ser instalado, solicita al usuario acceso a llamadas del teléfono, localización, acceso al calendario, contactos, mensajes de texto e internet.
2. Por otro lado, se analizó su SHA-256: 8885752384e54f65c7bd94982fadfa016f906960e9a53492a908eda12335f5aa en la página web “Virus Total”, donde es catalogado como troyano.
3. Recomendaciones:
Evitar descargar e instalar aplicaciones de plataformas no oficiales.
Realizar copias de seguridad periódicas en los equipos móviles.
En lo posible contar con antivirus para la protección del equipo móvil.
Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 229
Fecha: 19-11-2020
Página: 10 de 11
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Vulnerabilidad de inyección de comandos del conector de Cisco DNA Spaces
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. Resumen:
Cisco ha reportado una vulnerabilidad de severidad CRÍTICA de tipo inyección de comando del sistema operativo en la interfaz de administración basada en la web de Cisco DNA Spaces Connector. La explotación exitosa de esta vulnerabilidad podría permitir que un atacante remoto no autenticado ejecute comandos arbitrarios en un dispositivo afectado.
2. Detalles:
La vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario en la interfaz de administración basada en web de Cisco DNA Spaces Connector podría permitir que un atacante remoto no autenticado ejecute comandos arbitrarios en un dispositivo afectado. La vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario en la interfaz de administración basada en web.
Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes HTTP creadas a la interfaz de administración basada en web. Un exploit exitoso podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con privilegios de la aplicación de administración basada en web, que se ejecuta como un usuario restringido. Esto podría provocar que se realicen cambios en las páginas atendidas por la aplicación de administración basada en web que afecten a la integridad o disponibilidad de la aplicación de administración basada en web.
CVE-2020-3586
3. Productos afectados:
Esta vulnerabilidad afecta a las versiones 2.2 y anteriores del software Cisco DNA Spaces Connector.
4. Solución:
Cisco ha publicado la versión 2.3 y posteriores de Cisco DNA Spaces Connector que contienen la solución para esta vulnerabilidad.
Fuentes de información hxxps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dna-cmd-injection-rrAYzOwc
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 11 de 11
Índice alfabético
Acceso no autorizado ........................................................................................................................................................ 6 Código malicioso ........................................................................................................................................................ 3, 5, 9 Correo electrónico ............................................................................................................................................................. 3 Divulgación no autorizada de información personal ......................................................................................................... 6 exploits .............................................................................................................................................................................. 5 Exploits .............................................................................................................................................................................. 5 Explotación de vulnerabilidades conocidas ................................................................................................................. 7, 10 Fraude ................................................................................................................................................................................ 8 hxxp ................................................................................................................................................................................... 8 Intento de intrusión ..................................................................................................................................................... 7, 10 internet .......................................................................................................................................................................... 3, 9 malware ............................................................................................................................................................................. 3 phishing ............................................................................................................................................................................. 8 Phishing ............................................................................................................................................................................. 8 Red, internet ................................................................................................................................................................ 7, 10 redes sociales ............................................................................................................................................................. 1, 3, 9 Redes sociales ................................................................................................................................................................ 6, 8 Redes sociales, SMS, correo electrónico, videos de internet, entre otros .................................................................... 6, 8 servidor .............................................................................................................................................................................. 3 software ............................................................................................................................................................... 3, 5, 8, 10 Suplantación ...................................................................................................................................................................... 8 URL ..................................................................................................................................................................................... 6 USB, disco, red, correo, navegación de internet ........................................................................................................... 5, 9 Vulnerabilidad.................................................................................................................................................................. 10
