Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 7 de junio de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido Nuevo fraude publicitario de Tekya encontrado en Google Play .................................................................. 3
Nippon Telegraph & Telephone (NTT) hackeado .......................................................................................... 4
Vulnerabilidad de seguridad en p5-Crypt-Perl .............................................................................................. 5
Vulnerabilidades en el uso de Mozilla Firefox ................................................................................................ 6
Vulnerabilidades de XSS en Joomla ............................................................................................................... 7
Ataque de ransomware eCh0raix a dispositivos de almacenamiento NAS QNAP ........................................ 8
Phishing, suplantando la identidad de Facebook. ......................................................................................... 9
Índice alfabético ..........................................................................................................................................11
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 064
Fecha: 07-06-2020
Página: 3 de 11
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Nuevo fraude publicitario de Tekya encontrado en Google Play
Tipo de ataque Malware Abreviatura Malware
Medios de propagación Red e internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que hay una nueva versión del malware Tekya que se estaba utilizando para llevar a cabo fraudes publicitarios.
2. Detalles de la alerta:
Tekya es una nueva familia de malware descubierta por CheckPoint software a finales de marzo, que logró saltarse la seguridad de Google Play Store y operar en 56 aplicaciones con el objetivo de cometer fraude publicitario móvil. Desde entonces, estas aplicaciones se eliminaron de la tienda, pero recientemente encontramos una variante de esta familia que llegó a Google Play a través de cinco aplicaciones maliciosas, aunque también se eliminaron.
El malware registró un receptor que responde a las acciones "com.tenjin.RECEIVE" o "android.intent.action.BOOT_COMPLETED". La última acción le da al malware la capacidad de despertarse después de que se inicia el dispositivo
La funcionalidad del receptor se implementa en libtenjin.so. Una vez llamado, llamaría a un método que se oculta en un paquete común, específicamente, com / google / android / gms / internal / ads /.
El método llamado es responsable de descargar un archivo “.dex” y cargarlo. En el caso que estábamos analizando, dicho archivo se descargaría doce horas después de que se instalara el malware. El archivo descargado está encriptado; es descifrado y cargado por libtenjin.so.
Asimismo, una vez que se haya cargado el archivo “.dex”, intentará registrarse en un servidor de configuración. La información que forma parte del registro incluye ID del dispositivo, cuentas de usuario, ubicación, dirección MAC y otros. Si el servidor no rechaza el registro, se descargará un archivo de configuración cifrado. Contiene información sobre los anuncios que se cargarán y las banderas de control.
Tekya trataría de engañar a las víctimas para que crean que esas publicidades fueron abiertas por otras aplicaciones cambiando su icono y etiqueta a la de otra aplicación en el dispositivo.
3. Indicadores de Compromiso:
Nombre del paquete SHA256
awakens.download.mp3pro 35f9077b4774456526b088496413bd5559c293b7ae49da89c5b7b51132667879
com.waygame.hoppingcat 359f581980faa4e27acf19a9bfae0214d6e92690bcbce0d19e9b0053200f6cd2
com.halfbrain.trafficjam 114b8f6a345ee403487e79d4110fcd28e5a9b67ebe5821cd2f7a296d06ae1de2
com.halfbrain.petjumping c4e00591e0eb947fded1ea925c3aa4e5e2f47a8adbfc096f174a84a2205bbf5a
4. Recomendaciones:
Implementar y promover las mejores prácticas de ciberseguridad.
Actualizar los parches de seguridad.
Realizar evaluaciones periódicas de toda la Infraestructura de TI.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 064
Fecha: 07-06-2020
Página: 4 de 11
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Nippon Telegraph & Telephone (NTT) hackeado
Tipo de ataque Fuga de información Abreviatura FugaInfo
Medios de propagación Red, internet, redes sociales
Código de familia K Código de subfamilia K02
Clasificación temática familia Uso inapropiado de recursos
Descripción
1. El 07 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento sobre un nuevo incidente de hacking que ha azotado al gobierno japonés. Acorde a los especialistas en seguridad lógica, recientemente se detectó un ciberataque contra NTT Communications Corp, afiliada a Nippon Telegraph and Telephone Corp, por lo que las redes de comunicación empleadas por las Fuerzas de Autodefensa de Japón podrían haber resultado expuestas.
2. Acorde a los especialistas en seguridad lógica, las posibles filtraciones están relacionadas con información sobre el equipo de comunicaciones y el diseño de una instalación de la Fuerza de Autodefensa Marítima en Yokosuka, al sur de Tokio, así como la de las líneas de comunicación en aproximadamente 10 ubicaciones de las Fuerzas de Autodefensa.
3. Al parecer, los responsables del incidente accedieron a más de 100 archivos sin autorización, según el informante.
Todos los datos estaban vinculados a los negocios que NTT Communications ha convenido con el Ministerio de Defensa. Si bien la información comprometida no es considerada como “confidencial”, el Ministerio señala que existe la posibilidad de que estos datos puedan ser empleados para comprometer redes de la Defensa.
4. Hace algunos días, NTT Communications dijo que la información sobre 621 de sus clientes podría haberse filtrado
debido a un acceso no autorizado recientemente detectado en sus redes. Los expertos en seguridad lógica mencionan que la empresa se reservó el derecho a revelar el nombre de las compañías afectadas, pues la investigación está activa. La compañía tampoco se refirió a las potenciales filtraciones del ejército.
5. El informante anónimo también asegura, el pasado 7 de mayo, NTT decidió suspender sus comunicaciones con el
exterior luego de detectar actividad anómala en sus servidores. Pocos días después, el equipo de TI de la compañía reveló que existieron fugas potenciales. En un reporte de seguridad interno, la compañía mencionó la detección de diversos accesos no autorizados a información relacionada con el Ministerio de Defensa del 4 al 5 de mayo; esta actividad fue realizada a través de un servidor localizado en Singapur. NTT Communications notificó el incidente al ministerio, pero dijo que las posibilidades de que se hubiera filtrado información confidencial son limitadas.
6. Acorde al Instituto Internacional de Seguridad Cibernética (IICS), este es el caso más reciente de ciberataque contra
compañías japonesas que prestan servicios para la Defensa. En ocasiones pasadas, grupos de hackers han comprometido la infraestructura de TI de empresas como Mitsubishi, NEC Corp, Kobee Steel, entre otras. Estos incidentes han expuesto información confidencial, como planos sobre nuevos desarrollos militares, detalles de infraestructura y más información clasificada
7. Se recomienda:
Cifrar la información confidencial corporativa.
Instalación, configuración y actualización de cortafuegos.
Fijar políticas de seguridad.
Hacer que los usuarios firmen unos acuerdos de confidencialidad.
Fuentes de información https[://]noticiasseguridad.com/hacking-incidentes/nippon-telegraph-telephone-ntt-hackeado-datos-de-defensa-clientes-y-empleados-de-japon-filtrados/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 064
Fecha: 07-06-2020
Página: 5 de 11
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Vulnerabilidad de seguridad en p5-Crypt-Perl
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. El 07 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de la publicación, sobre una vulnerabilidad en el producto de p5 Crypt-Perl, el cual fue reportado por Antonio de la Perla. Asimismo, el identificador asignado a esta vulnerabilidad es el CVE-2020-13895.
2. Crypt :: Perl :: ECDSA en el mudulo Crypt :: Perl también conocido como p5 Cryp-Perl, tiene una vulnerabilidad hasta la versión 0.31, esta vulnerabilidad existe debido a que no puede verificar las firmas correctas de ECDSA cuando r y s son pequeños y cuando s = 1. Esto resulta cuando se usa la curva secp256r1 (prime256v1). Un atacante remoto sin autenticación puede aprovechar esta vulnerabilidad para omitir la firma para p5 Cryp-Perl y engañar a la víctima instalando código malicioso, afectando la confidencialidad, integridad y disponibilidad.
3. Recursos afectados:
p5-Crypt-Perl versión 0.021
p5-Crypt-Perl versión 0.022
p5-Crypt-Perl versión 0.031
p5-Crypt-Perl versión 0.032
p5-Crypt-Perl versión 0.033
p5-Crypt-Perl versión 0.11
p5-Crypt-Perl versión 0.12
p5-Crypt-Perl versión 0.13
p5-Crypt-Perl versión 0.15
p5-Crypt-Perl versión 0.16
p5-Crypt-Perl versión 0.17
p5-Crypt-Perl versión 0.18
p5-Crypt-Perl versión 0.19
p5-Crypt-Perl versión 0.20
p5-Crypt-Perl versión 0.22
p5-Crypt-Perl versión 0.23
p5-Crypt-Perl versión 0.26
p5-Crypt-Perl versión 0.30
p5-Crypt-Perl versión 0.31
4. Se recomienda:
Actualizar p5-Crypt-Perl versión a la versión 0.32.
Instalar las actualizaciones del sitio del proveedor.
Fuentes de información https[://]github.com/FGasper/p5-Crypt-Perl/commit/f960ce75502acf7404187231a706672f8369acb2
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 064
Fecha: 07-06-2020
Página: 6 de 11
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Vulnerabilidades en el uso de Mozilla Firefox Tipo de ataque Explotación de vulnerabilidades Abreviatura EVC Medios de propagación Red, navegación de internet Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión
Descripción
1. El 07 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio se tuvo conocimiento del informe de los expertos en seguridad de la información, sobre las múltiples fallas de seguridad en Mozilla Firefox la explotación de esta vulnerabilidad permitiría la ejecución de código remoto en el contexto de un usuario conectado, esta información fue publicada el 04 de junio de 2020 por la web de Noticias de seguridad informática.
2. Con estas vulnerabilidades los actores de amenazas podrían instalar programas que permitan ver, cambiar o eliminar datos, crear nuevas cuentas de administrador dependiendo de los privilegios asociados al usuario objetivo.
3. A continuación, los expertos en seguridad de la información muestran una lista de vulnerabilidades encontradas, las
cuales se muestran a continuación:
CVE-2020-12399: Esta es una vulnerabilidad de tiempo que se presenta al realizar firmas DSA, lo que podría filtrar claves privadas.
CVE-2020-12406: Vulnerabilidad de confusión de tipos que permite la ejecución de código arbitrario debido a un error durante la eliminación de objetos JavaScript.
CVE-2020-12407: Vulnerabilidad de filtración de memoria en WebRender que permite que un usuario local acceda al contenido de la memoria
CVE-2020-12408: Vulnerabilidad de falsificación de identidad que permitiría a los hackers redirigir a los usuarios a sitios web maliciosos.
CVE-2020-12410: Vulnerabilidad de desbordamiento de búfer que permiten la ejecución de código arbitrario debido a errores al procesar contenido HTML.
4. Se recomienda:
Instalar las actualizaciones y parches de seguridad de la página oficial de este motor de búsqueda para
sistema vulnerables.
Ejecutar cualquier software como usuario sin privilegios administrativos para mitigar el alcance de un posible ataque.
Fuentes de información https[://]noticiasseguridad.com/vulnerabilidades/uso-de-mozilla-firefox-permite-espiar-su-telefono-o-infectar-la-computadora-con-virus-actualice-lo-antes-posible/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 064
Fecha: 07-06-2020
Página: 7 de 11
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Vulnerabilidades de XSS en Joomla Tipo de ataque Explotación de vulnerabilidades Abreviatura EVC Medios de propagación Red, navegación de internet Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión
Descripción
1. El 07 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio se tuvo conocimiento del informe de los especialistas de pruebas de seguridad informática, sobre la vulnerabilidad de XSS (Cross Site Scripting) en Joomla (sistema de gestión de contenido CMS), esta información fue publicada el 03 de junio de 2020 por la web de Noticias de seguridad informática.
2. La primera de las fallas reportadas existe debido a una inadecuada desinfección de los datos proporcionados por el usuario en la opción de etiqueta de encabezado en algunos módulos del CMS y permitiría el despliegue de ataques de scripts entre sitios (XSS).
3. Asimismo, la última vulnerabilidad reportada existe debido a una validación insuficiente del origen de las solicitudes HTTP en el componente com_postinstall, lo que podría permitir ataques de falsificación de solicitudes entre sitios (XSRF).
4. Se recomienda:
Instalar actualizaciones y configuraciones de seguridad de la página oficial de Joomla.
Fuentes de información https[://]noticiasseguridad.com/vulnerabilidades/multiples-vulnerabilidades-cross-site-scripting-xss-en-joomla/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 064
Fecha: 07-06-2020
Página: 8 de 11
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Ataque de ransomware eCh0raix a dispositivos de almacenamiento NAS QNAP Tipo de ataque Ransomware Abreviatura Ransomware Medios de propagación Correo electrónico, redes sociales, entre otros. Código de familia C Código de subfamilia C09 Clasificación temática familia Código malicioso
Descripción
1. El 07 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó que ciberdelincuentes siguen aprovechándose del confinamiento social y el teletrabajo generado por la pandemia Covid-19 (Coronavirus), mediante una campaña de ransomware denominado “eCh0raix” dirigido a dispositivos de almacenamiento NAS QNAP (Sistema de almacenamiento central con múltiples unidades de disco duro que está constantemente online y siempre disponible, desde cualquier lugar), a través de vulnerabilidades conocidas o mediante contraseñas débiles utilizadas en el dispositivo. Al obtener el acceso se instala el ransomware, el cual encripta los archivos almacenados en el dispositivo y agrega la extensión .encrypt al nombre del archivo. Asimismo, el usuario recibe una nota de rescate README_FOR_DECRYPT.txt que contiene un enlace a un sitio de pago en Tor, demandando un pago aproximado de $500 para obtener un descifrador.
2. Luego de ser encriptadas los archivos, se detectó aplicaciones QNAP con nombres extraños en el AppCenter. Se desconoce si se trata de paquetes maliciosos instalados por los actores de amenazas o paquetes personalizados cargados que se cifraron y ya no se leen correctamente.
3. Se recomienda:
Actualizar QTS a la última versión.
Instalar y actualizar Security Counselor a la última versión.
Usar una contraseña de administrador más segura.
Habilitar la protección de acceso a la red para proteger las cuentas de los ataques de fuerza bruta.
Deshabilitar los servicios SSH y Telnet si no los está utilizando.
Evitar usar los números de puerto predeterminados 443 y 8080.
Habilitar el servicio de instantáneas de QNAP.
Fuentes de información Comandancia de Ciberdefensa de la Marina. Osint
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 064
Fecha: 07-06-2020
Página: 9 de 11
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Phishing, suplantando la identidad de Facebook.
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros
Código de familia G Código de subfamilia G02
Clasificación temática familia Fraude
Descripción
1. El 06 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, los ciberdelincuentes vienen llevando a cabo una campaña de phishing, a través del servicio de mensajería Telegram, el cual tiene por finalidad obtener información de credenciales de usuario, suplantando la identidad de la red social Facebook, el cual incitan al usuario ingresar al sitio web enviado, para luego informar que el equipo de seguridad de Facebook necesita realizar algunos ajustes en la cuenta de dicha red social.
2. Las URL Maliciosa, fue analizada en la plataforma de virustotal, siendo catalogada como phishing:
hxxps[:]//telegra[.]ph/Recovery-Facebook-Confrim-06-05?facebook[.]com=recovery
Topología de URL: telegra.ph Topología de IP: 149.154.264.13
El mensaje indica que su cuenta
será suspendida debido a que
un tercero informó una
discrepancia entre su
contenido y viola los términos
del servicio, por lo que se
solicita al usuario confirmar su
cuenta o de lo contrario será
bloqueada.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
3. Por otro lado, el hash obtenido se procedió a analizar en las diferentes plataformas virtuales de compañías de seguridad informática, teniendo el siguiente resultado:
SHA256: a288798699f6963c146ba3b6f75d5351bca0f32a1f52d8189816943b72c39ea0
MD5: 54e9b3ddcd04f331a2f3563d51f8ffaa
SHA1: 0731523197c70bbaf28ce879765c0e943385679d
Creado: 06 de abril 2020.
Talla: 6.5 KB (kilobyte)
Archivo ejecutable: Intel 386 o posterior, y compatibles.
Virustotal:
Topología de hash: a288798699f6963c146ba3b6f75d5351bca0f32a1f52d8189816943b72c39ea0
4. Algunas Recomendaciones
Verifica la información en los sitios web oficiales.
No introduzcas datos personales en páginas sospechosas.
Siempre ten presente que los ciberdelincuentes, quieren obtener siempre tus datos personales.
Fuentes de información Análisis propio en redes sociales y fuentes abiertas
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 11 de 11
Índice alfabético
Código malicioso ............................................................................................................................................................ 3, 8 Correo electrónico ............................................................................................................................................................. 8 Correo electrónico, redes sociales, entre otros ................................................................................................................ 8 Explotación de vulnerabilidades conocidas ....................................................................................................................... 5 Fraude ................................................................................................................................................................................ 9 fuerza bruta ....................................................................................................................................................................... 8 Intento de intrusión ................................................................................................................................................... 5, 6, 7 internet ...................................................................................................................................................................... 3, 6, 7 malware ............................................................................................................................................................................. 3 Malware ............................................................................................................................................................................. 3 phishing ............................................................................................................................................................................. 9 Phishing ......................................................................................................................................................................... 2, 9 puerto ................................................................................................................................................................................ 8 ransomware ................................................................................................................................................................... 2, 8 Ransomware ...................................................................................................................................................................... 8 Red, internet .................................................................................................................................................................. 4, 5 Red, internet, redes sociales ............................................................................................................................................. 4 redes sociales ............................................................................................................................................................... 1, 10 Redes sociales .................................................................................................................................................................... 9 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ........................................................................ 9 servidor .......................................................................................................................................................................... 3, 4 servidores .......................................................................................................................................................................... 4 software ......................................................................................................................................................................... 3, 6 URL ..................................................................................................................................................................................... 9 Uso inapropiado de recursos ............................................................................................................................................. 4 Vulnerabilidad............................................................................................................................................................ 2, 5, 6 Vulnerabilidades ........................................................................................................................................................ 2, 6, 7
Related Documents
