Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los piratas informáticos de APT29 se dirigen a víctimas de alto valor utilizando servidores RDP no autorizados y PyRDP
  • Tecnología

Los piratas informáticos de APT29 se dirigen a víctimas de alto valor utilizando servidores RDP no autorizados y PyRDP

teknomers 18 de Aralık de 2024 (Last updated: 18 de Aralık de 2024) 4 minutes read
Los piratas informáticos de APT29 se dirigen a víctimas de


18 de diciembre de 2024Ravie LakshmananCiberespionaje/malware

Se ha observado que el actor de amenazas APT29 vinculado a Rusia reutiliza una metodología legítima de ataque de equipo rojo como parte de ataques cibernéticos que aprovechan archivos de configuración maliciosos del Protocolo de escritorio remoto (RDP).

La actividad, que ha tenido como objetivo gobiernos y fuerzas armadas, grupos de expertos, investigadores académicos y entidades ucranianas, implica la adopción de una técnica “PDR deshonesta” que fue previamente documentado por Black Hills Information Security en 2022, dijo Trend Micro en un informe.

“Una víctima de esta técnica daría control parcial de su máquina al atacante, lo que podría provocar una fuga de datos e instalación de malware”, afirman los investigadores Feike Hacquebord y Stephen Hilt. dicho.

Ciberseguridad

La empresa de ciberseguridad está rastreando al grupo de amenazas bajo su propio apodo Earth Koshchei, afirmando que los preparativos para la campaña comenzaron el 7 y 8 de agosto de 2024. Las campañas de RDP también fueron destacadas por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA). , Microsoft y Amazon Web Services (AWS) en octubre.

Los correos electrónicos de phishing fueron diseñados para engañar a los destinatarios para que lanzaran un archivo de configuración RDP malicioso adjunto al mensaje, lo que provocaba que sus máquinas se conectaran a un servidor RDP externo a través de uno de los 193 repetidores RDP del grupo. Se calcula que en un solo día se atacaron unas 200 víctimas de alto perfil, lo que indica la magnitud de la campaña.

El método de ataque descrito por Black Hill implica el uso de un proyecto de código abierto llamado PyRDP – descrito como una “herramienta y biblioteca Monster-in-the-Middle (MitM)” basada en Python, frente al servidor RDP real controlado por el adversario para minimizar el riesgo de detección.

Por lo tanto, cuando una víctima abre el archivo RDP, con nombre en código HUSTLECON, desde el mensaje de correo electrónico, inicia una conexión RDP saliente al relé PyRDP, que luego redirige la sesión a un servidor malicioso.

“Al establecer la conexión, el servidor fraudulento imita el comportamiento de un servidor RDP legítimo y explota la sesión para llevar a cabo diversas actividades maliciosas”, dijeron los investigadores. “Un vector de ataque principal implica que el atacante implemente scripts maliciosos o altere la configuración del sistema en la máquina de la víctima”.

Además de eso, el servidor proxy PyRDP permite al atacante obtener acceso a los sistemas de la víctima, realizar operaciones con archivos e inyectar cargas útiles maliciosas. El ataque culmina cuando el actor de la amenaza aprovecha la sesión RDP comprometida para filtrar datos confidenciales, incluidas credenciales y otra información patentada, a través del proxy.

Lo notable de este ataque es que la recopilación de datos se facilita mediante un archivo de configuración malicioso sin tener que implementar ningún malware personalizado, lo que permite que los actores de la amenaza pasen desapercibidos.

Ciberseguridad

Otra característica que merece mención es el uso de capas de anonimización como nodos de salida TOR para controlar los servidores RDP, así como proveedores de proxy residenciales y servicios VPN comerciales para acceder a servidores de correo legítimos que se emplearon para enviar correos electrónicos de phishing.

“Herramientas como PyRDP mejoran el ataque al permitir la interceptación y manipulación de conexiones RDP”, agregaron los investigadores. “PyRDP puede rastrear automáticamente unidades compartidas redirigidas por la víctima y guardar su contenido localmente en la máquina del atacante, lo que facilita la filtración de datos sin problemas”.

“Earth Koshchei utiliza nuevas metodologías a lo largo del tiempo para sus campañas de espionaje. No sólo prestan mucha atención a las vulnerabilidades nuevas y antiguas que les ayudan a obtener acceso inicial, sino que también analizan las metodologías y herramientas que desarrollan los equipos rojos”.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: ¿Se prohibirá otra empresa china en EE.UU. después de Huawei? “Se está considerando la prohibición del enrutador TP-Link”
Next: HC habla del posible fracaso de Mahomes

Related Stories

Seguridad vial: por qué su próximo coche nuevo supervisará obligatoriamente
  • Tecnología

Seguridad vial: por qué su próximo coche nuevo supervisará obligatoriamente su mirada

teknomers 12 de Temmuz de 2026
Prueba del Lymow One Plus: ¿es el mejor robot cortacésped
  • Tecnología

Prueba del Lymow One Plus: ¿es el mejor robot cortacésped para hierbas altas y terrenos difíciles?

teknomers 12 de Temmuz de 2026
Meta frente a la UE: Facebook e Instagram considerados demasiado
  • Tecnología

Meta frente a la UE: Facebook e Instagram considerados demasiado adictivos

teknomers 12 de Temmuz de 2026

You May Have Missed

Noruega-Inglaterra: el resumen de la difícil victoria de los ingleses
  • Deporte

Noruega-Inglaterra: el resumen de la difícil victoria de los ingleses con un gran Jude Bellingham

teknomers 12 de Temmuz de 2026
  • Deporte

Copa Mundial 2026: Tuchel critica a la Inglaterra ‘afortunada’ y ‘desordenada’ – ¿será suficiente una ‘mentalidad pura’?

teknomers 12 de Temmuz de 2026
Seguridad vial: por qué su próximo coche nuevo supervisará obligatoriamente
  • Tecnología

Seguridad vial: por qué su próximo coche nuevo supervisará obligatoriamente su mirada

teknomers 12 de Temmuz de 2026
  • General

Guerra en Ucrania: Kiev afirma haber abatido un « avión terrorista aéreo ruso », un caza Su-35 estimado en 85 millones de dólares

teknomers 12 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.