14 mayo, 2021

2CMV21-00177-01 CSIRT comparte IoC de campañas de phishing con malware para bloqueo

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno), comparte una serie de Indicadores de Compromiso (IoC) obtenidos del análisis realizado a múltiples campañas de phishing con archivos adjuntos que contienen malware, los que están circulando en el ciberespacio nacional y representan un riesgo para los sistemas informáticos, así como para los usuarios en general.

CSIRT recomienda a los administradores y usuarios bloquear los hash publicados en este informe, y mantener un permanente monitoreo sobre el resto de los Indicadores de Compromiso.

Observación

Solicitamos tener en consideración las señales de compromiso en su conjunto.

IoC hash

Hash SHA-256 de los archivos adjuntos en los correos electrónicos:

0cf6394ec7b68f681552642c14242fbfb5cf2ea52a73e70d7f1e4ac5f6ed036d
14d711f2f97db7347ebce7e6f289b7d5174a4a9e6a0bc2f4e5a597ef08f652bb
172bc04929c268238274133fd4c6accfda36524861d774030c7f86433ccac854
18c3d4686dc7aea4ecec07c7f1930e39095917f512051ea15cb3febedea4c4b3
1e068e350ecf76279932c4c8cfc7a26c1cdfb27d71bef300c7bb32f9ee77cd3e
1e8e3cfe10c00f1ccd82b54857c5c531f6f262cf24e80a6ce67fb628f41e26be
27ea000431417515aa33d53ae175d1decb83d151f950d7b2f22aff9fc1e9fc2e
291da38191d5ff579484d4fe33aa922f5ee289b2f2a70c95025e5c055a53b354
34b8e2ff84e15256bbd27c1679e04f5e37a706fd364ab48734ee629592fffa43
39b9b9d746615f349d1dd9bd9d29897a3261fac310d55558e51061edc9886dfc
3f656d77229f0f30156f9f3f25019c1b542f02f0236c61e975685910529cbdb8
4687cb6cdc7938fab151f4adaade6d848b2896186aa3aa7c6fda30ce2b070872
4f0f0e3eb0b053dd9d9f5324e667c74872d43f2f362ed82e9080854a06d4e583
504aa616071d68016724490c96f2ab9f1bdbbbba639d4f9380e07c3a47814af3
523c55e8eb17fb49b3007915dd26d98cda307a6cd8ebe007bcfcfcebd71402a3
5f176553348ef0003ce6cb08a7c480b504b5303abdd522814c31b8e46f328005
651669b20fdf67366006b67266c171a3f784c111d94fd3b091c0b7e2f3a12ee4
687322df86dd333a2e53f4359642ed378030880d18c08d7d75cf33bfa83bcdf4
6fc656c9d0d087d4404a5a32b663f8861b7c2cf71de7c80d6538e0702fe51d45
7a4b8e80938334aa2a110bb84e89c5da1efa59600cf29f932cdb2db66fa9305b
84a2ab7e7d6f5a7d187a1159e2909b8a9086c1817fa840860e2a57f09d4341ad
8c3684a7dc88ad3cf2b3c29d8152261a5c789a7ed5f8919286b695b07cd77269
8d5486082fb6fab10930248f1ceaed46fa925b2b6802a390e7f20ffeb4b15933
8ed83c8536661245ba55437b2edb44a51d7e16af475707e66bd216b4a2e3d417
97504149a8582911df7c6da3a4c26b438375c83bd3a63240d4db69d7dffb6677
9b8f3f6b8e389634d20861cbe272440c72797b5e2693f3ede9be1f3c230490a7
9b9bff894fdf75c1647d96471aae20cc82bd183efbdfa2f06fe89c508df4fd58
a3bccf3df83602916173c71787764bbfbae0a2b38825c35b63e14b67f734ff87
a6bbdbebc8ceaa6ad1135b681b8fd27b8cd2a8b3c7a109bacdc9a7adb8619f61
a9e803bd83a21e9205515f82a570aa90852bf4b56b6ababc42ca11158bc1c30c
aa8fa2a4c86461f40755f3d7878a8b539b0f67086faeb12ff1c3d32f4369e0d1
b608a010b1def6ecd045f448da9dba9773f793956ec28074333e310e89be3f1d
c275e272a2c7c5d54227eddf82bdbee7efe52e1cd020765419943f49b5ad676b
c7a345ed10dc3c955a39746257adeea524adb8e23dd1861830a8feafe737a431
c7f6b747410720e04ce24be4781570754eccd3987ff554c191da350fd66149d8
d086e1ce1ab085cd376dfe3aa210d940366a7375a5fb022f23d868ee03d876cd
d608c0a3dbc66aa83df93a9ed831068cefb38f20fb9506e2bcdfe3fc1e1f2102
df60968df156a0cd13104efb7b195ce95ab74ab6c1131f448751a5fe1cd184aa
e0d5e245a3ea2bcc1be28c8ebcdbf42003bf72a382d60dfbf13f4c8302133df9
eb59f4d9b291fcaf793cc20205de39a7b64e5f9674d3b9f2cd2c09d2ecdd5ef2
ef6465de7408fb3a33634ac1e58ee57a3315e7a3f80b92fa5b00b622fbae104e
f1a7ec16059aca15ee2f6c3eecc1094e20e06fceb658dcd5ed712f3f5613a18b
fe7dd0ce1c21da4d16d00794634a7944a6357e4d768868192238c43057e20192

IoC nombre de archivo

Nombres de archivos con malware:

payment advice pdf.001
filename=QUOTE3420997.rar
SHIPS PARTICULAR ,STOWAGE PLAN, CGO MANIFESTS, BLS.zip
OUTSTANDING BALANCE.pdf.z
filename=PL_3481107.R03
SHIPPING DOCUMENT & PL.rar
filename=451_Signed_Project_Contract.xlsx
USD 5950 Transfer for Import Payment Settlement.rar
PAYMENT LIST.xls
Nuevo orden.img
filename=Quotation.jar
orders de compra n.  02301234_________________PDF______________________________.gz
Ödeme kopyası.r00
Banco de Credito e Inversiones (BCI)_Pago_pdf.iso
Banco de Credito e Inversiones (BCI)_Pago_pdf.exe.iso
filename=Indeed_Update_File.html
filename=EU-Business-Register.pdf
RFQ (#17092018A).rar
UPS-AIRWAY BILL_20210325115310.docx
filename=QUOTAION#1100513001.PDF.rar
New Order_PO 1164_HD-F 4020 6K.PDF.gz
COPIA RAPIDA DE PAGO.zip
filename=INVOICE-PAYMENT.html
PEDIDO A VISTA – 351724 EQUIPAMENTOS E ACE.iso
Order Confirmation.zip
filename=PO-order-973y3.pdf.zip
filename=Solicitud_de_cotización.zip
Nuevo pedido _WJO-001,pdf.iso
Proforma Invoice No.42037 for USD. 78116.ace
filename=QUOTAION#1100513001.pdf.ARJ
Arrival Notification Shipment Reference 0513-2021.GZ

IoC servidor SMTP

Direcciones IP de servidor SMTP. Se debe tener consideración que podrían aparecer direcciones de Servicios Cloud reconocidos, ya que este apartado informa desde donde salieron los correos electrónicos maliciosos.

IP Etiqueta de sistema autónomo
220.84.103.2 Korea Telecom
1.209.16.178 LG DACOM Corporation
185.222.57.148 bd-rootlayer-1-mnt
200.152.105.190 MLS Projetos de Informatica
157.90.122.246 RIPE Network Coordination Centre
188.165.179.11 AVIRAHOST S.C Servidores
75.127.1.107 ColoCrossing
46.183.221.107 DataClub S.A.
185.222.58.157 bd-rootlayer-1-mnt
185.222.57.134 bd-rootlayer-1-mnt
125.214.169.206 Dialog Axiata Plc
103.68.183.3 Better Cloud Limited
177.131.10.152 Data Info Comercio e Servico Ltda.
209.133.223.107 NOC4Hosts Inc.
104.129.30.165 QuadraNet Enterprises LLC
209.127.16.116 B2 Net Solutions Inc.
74.198.0.41 Rogers Communications Canada Inc.
103.114.107.198 Son Thuy Investment Trading and Service Company Limited
1.209.188.135 LG DACOM Corporation
205.147.111.56 Asia Pacific Network Information Centre
103.245.209.153 AS Data(Hong Kong)Limited
51.255.128.81 Ghiaci Erfan
51.254.77.49 Perva Ciprian
95.63.48.1 Infraestructura Red y Servicios IP
192.241.151.27 DigitalOcean LLC
45.160.79.229 Wan Developments S.A.S
72.188.127.223 Charter Communications Inc
206.189.17.54 DigitalOcean LLC
186.250.40.29 REDE MINAS TELECOM LTDA

Recomendaciones                                                         

  • No abrir correos ni mensajes de dudosa procedencia.
  • Desconfiar de los enlaces y archivos en los mensajes o correo.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
  • Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet.
  • Prestar atención en los detalles de los mensajes o redes sociales.
  • Evaluar el bloqueo preventivo de los indicadores de compromisos.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing.
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
  • Visualizar los sitios web que se ingresen sean los oficiales.

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV21-00177-01.

2CMV21-00177-01 CSIRT comparte IoC de campañas de phishing con malware para bloqueo