2CMV21-00204-01 CSIRT alerta ante campañas de phishing con malware y comparte IoC para monitoreo y bloqueo

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno), comparte una serie de Indicadores de Compromiso (IoC) obtenidos del análisis realizado a múltiples campañas de phishing con archivos adjuntos que contienen malware, los que están circulando en el ciberespacio nacional y representan un riesgo para los sistemas informáticos, así como para los usuarios en general.

El CSIRT de Gobierno recomienda a los administradores y usuarios bloquear los hash publicados en este informe, y mantener un permanente monitoreo sobre el resto de los Indicadores de Compromiso.

Observación

Solicitamos tener en consideración las señales de compromiso en su conjunto.

IoC hash

Hash SHA-256 de los archivos adjuntos en los correos electrónicos:

HASH Tipo Malware
1 8d25f321f961251a7286688aa3379f493fdb5eaffe439131c0425a7a12e1feab HTML/AccPhish.A!tr
2 b4a2526963ed9fb511a6ef6d45e454688fa97f6e0b6b70f01c9e89ece2c3a55c HTML/AccPhish.A!tr
3 f51dfa36793decdd634ecdccc169d68795b33a105a2d2801a0b6beeed1ae338e HTML/AccPhish.A!tr
4 fb71a3dfe9ead054b0532f09bec284da5966ed1f1a284be0fbe303457057bac4 Malicious_Behavior.SB
5 3e61ed3c8e9fcdc2cbc9cfa733c2819d06c68e4db6609526fed67e0e1af2675d Malware_Generic.P0
6 b03f50b5fc47b8433f9b5b4be5a972d18a8e59d6923715017fe71a20c5012431 Malware_Generic.P0
7 ed855e00bc8c7ffeb19d2f854c630e1dcae61c14cd402290dce71170c44c328c Malware_Generic.P0
8 b725eb4f491ac6f877a31a0877a648b5b486e905c6a356049ee44126bda2854f MSExcel/CVE_2017_11882!exploit
9 135894c83ce3c3b86098831bd8ea6908750ed64df951118540402847c782584c MSIL/GenKryptik.EYTI!tr
10 f0212164481dbc5204645f14e6fd604178e2a1bbc7064e021f459b3aa49abacf MSIL/GenKryptik.FHQY!tr
11 069048269a726715a5b39c9735a0aa7c4f19ce4b6efea4a8dc13adda4f84420c MSIL/GenKryptik.FHSB!tr
12 107834af78735ee81662a252fa57946ef11750bdd3dbbe32e87e5f150970baed MSIL/GenKryptik.FHSB!tr
13 d639b760a935bfbb5168606f6c7b11aa87a44893ea0bf0f1e344775333d3715d MSIL/GenKryptik.FHSB!tr
14 3c7eb9f8247f14ae0f2b4f9cd50e0e6e73da2fd22e6a916c26e5bf9b3da9eaa3 MSIL/Kryptik.ACAH!tr
15 343573a841f9a28bfe7eb58ae4ac084c714abfc0ca3484466b879a92eea4a975 MSIL/Kryptik.ACAN!tr
16 4a9cb8738125e9b209c25af9319c5fd8cbcfbbd8e55036789459fe76928df70f MSIL/Kryptik.ACAN!tr
17 acb6756f7955bd09c092eb8b9e53dc4e97f96dde294d41681ffdd1ff0f56e7ea MSIL/Kryptik.ACAN!tr
18 63241bbcdda9b9030690adcc937f3e0b0a88bac2403aeafb4842c8a062357326 MSIL/Kryptik.DLO!tr
19 13406dbb5a4e23808961b84a71e59ff774affd421e1ffa2364dc22c9582912fb MSIL/Kryptik.ZXG!tr
20 bdb9857496e50544537e1a1d7b9baf6fb8c8ba9ce51f98dc8cdcabb04ce8776f MSIL/Kryptik.ZXG!tr
21 38473a7da74c7513b8b26550778e6c10337bfa0c8037a5ec1040200c324dcc5b VBA/Agent.1873!tr.dldr
22 46aa81e194997d9f71e52292acaedbf2d269143f112aaf2f582e504ba75ee90a W32/Injector.EPUC!tr
23 65ed0398895496b18c51a9fcffbcc1a302612885de247ec356c409bd339ea2e9 W32/Taskun.FHSB!tr

IoC nombre de archivo

Nombres de archivos con malware:

Archivo Malware
1 solicitud 188120072021.pdf
2 48027066.pdf
3 DTO-170_02-ENE-1986.pdf
4 VIDA CONDUCTOR DE RITA GONZALEZ.pdf
5 cvm-91566992.pdf
6 Z-451-19 Arraigo – SLC.PDF
7 CV_LBB_Esp.pdf
8 RES_EX_3514_SSFFAA.pdf
9 F36455T39_eac85df2d6f2017c7bc698e1a9c60e95.pdf
10 RIT 1899-2019 CERTIFICADO..pdf
11 09_LP_Adquisición_Equipos_Control__Acceso_y _Salida_.docx
12 claudia08.xlsx
13 210715 Comite CASEN PM_vf.pptx
14 RES_289_EXENTA_05_ENE_1999.pdf
15 56531256 LEYTON.pdf
16 FichaAdmision2020__contratos_200721151303.pdf
17 OC N° 9466 ING Y CONST PABST LEYTON OBRA SEN -03_VICTOR_BURGOS.pdf
18 tarea.docx
19 Informe_de_daño_Natalia_Aravena.pdf
20 ORIGINAL DOCUMENTS.lzh
21 CCF_000044.pdf
22 Impresora SOME_19072021095258.pdf
23 696569425672.pdf
24 Ampliación_Visa.pdf
25 NK.77158155.20072021154847720.pdf
26 T52F2195TS20210713T134415.pdf
27 registro 7.pdf
28 Nómina_postulantes_Curso_Avanzado.xlsx
29 INFORME NOTICIAS PM 🗞📰📺 20.7.21.pdf
30 Certificado de emision de gases contaminantes.pdf
31 bhe_16186331-47.pdf
32 Untitled_13072021_122701.pdf
33 SVA.pdf

IoC servidor SMTP

Direcciones IP de servidor SMTP. Se debe tener consideración que podrían aparecer direcciones de Servicios Cloud reconocidos, ya que este apartado informa desde donde salieron los correos electrónicos maliciosos.

IP Etiqueta de sistema autónomo
1 92.222.24.222 OVH SAS
2 103.155.82.198 VIETSPEED SERVICE COMPANY LIMITED
3 185.222.57.93 bd-rootlayer-1-mnt
4 101.99.64.166 Shinjiru Technology Sdn. Bhd.
5 107.175.156.137 ColoCrossing
6 185.222.57.170 bd-rootlayer-1-mnt
7 103.167.93.90 VNNETWORK NETWORK SOLUTION COMPANY LIMITED
8 191.101.130.79 Digital Energy Technologies Chile SpA
9 103.133.108.70 Vcloud service limited company
10 45.137.22.132 RootLayer Web Services Ltd.
11 185.222.58.158 bd-rootlayer-1-mnt
12 198.16.95.5 FDCservers.net
13 185.222.57.149 bd-rootlayer-1-mnt
14 103.207.38.69 VietServer Services technology company limited
15 87.240.72.14 KERTEL SAS
16 138.68.253.26 DigitalOcean LLC
17 200.10.184.121 Corporacion Administrativa del Poder Judicial de C
18 209.85.166.49 Google LLC
19 209.85.166.50 Google LLC
20 200.91.27.106 Ingenieria  Servicios y Comunicaciones S.A.
21 104.47.33.59 Microsoft Corporation
22 167.89.57.99 SendGrid Inc.
23 104.47.40.54 Microsoft Corporation
24 190.160.0.176 VTR BANDA ANCHA S.A.
25 40.92.22.54 Microsoft Corporation
26 52.100.166.207 Microsoft Corporation
27 104.47.33.51 Microsoft Corporation
28 200.68.36.201 Distribuidora y Servicio D&S S.A.
29 209.85.216.71 Google LLC
30 186.148.42.78 CTC Transmisiones Regionales S.A.
31 104.47.56.44 Microsoft Corporation
32 209.85.219.182 Google LLC
33 209.85.221.45 Google LLC
34 209.85.222.51 Google LLC

Recomendaciones                   

  • No abrir correos ni mensajes de dudosa procedencia.
  • Desconfiar de los enlaces y archivos en los mensajes o correo.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
  • Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet.
  • Prestar atención en los detalles de los mensajes o redes sociales.
  • Evaluar el bloqueo preventivo de los indicadores de compromisos.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Revisar los controles de seguridad de los antispam y sandboxing.
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
  • Visualizar los sitios web que se ingresen sean los oficiales.

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV21-00204-01.

2CMV21-00204-01 CSIRT alerta ante campañas de phishing con malware y comparte IoC para monitoreo y bloqueo