Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El malware IcedID ataca de nuevo: Dominio de Active Directory comprometido en menos de 24 horas
  • Tecnología

El malware IcedID ataca de nuevo: Dominio de Active Directory comprometido en menos de 24 horas

teknomers 12 de Ocak de 2023 (Last updated: 12 de Ocak de 2023) 4 minutes read
El malware IcedID ataca de nuevo: Dominio de Active Directory


12 de enero de 2023Ravie LakshmanánDirectorio activo/malware

Un reciente ataque de malware IcedID permitió al actor de amenazas comprometer el dominio de Active Directory de un objetivo sin nombre menos de 24 horas después de obtener el acceso inicial.

“A lo largo del ataque, el atacante siguió una rutina de comandos de reconocimiento, robo de credenciales, movimiento lateral abusando de los protocolos de Windows y ejecutando Cobalt Strike en el host recién comprometido”, investigadores de Cybereason dicho en un informe publicado esta semana.

IcedID, también conocido con el nombre de BokBot, comenzó su vida como un troyano bancario en 2017 antes de convertirse en un gotero para otro malware, uniéndose a Emotet, TrickBot, Qakbot, Bumblebee y Raspberry Robin.

Los ataques relacionados con la entrega de IcedID han aprovechado una variedad de métodos, especialmente a raíz de la decisión de Microsoft de bloquear las macros de los archivos de Office descargados de la web.

La intrusión detallada por Cybereason no es diferente en el sentido de que la cadena de infección comienza con un archivo de imagen ISO contenido dentro de un archivo ZIP que culmina con la ejecución de la carga útil de IcedID.

Luego, el malware establece persistencia en el host a través de una tarea programada y se comunica con un servidor remoto para descargar cargas útiles adicionales, incluido Cobalt Strike Beacon para la actividad de reconocimiento de seguimiento.

También realiza movimiento lateral a través de la red y ejecuta el mismo Cobalt Strike Beacon en todas esas estaciones de trabajo, y luego procede a instalar agente de aterauna herramienta de administración remota legítima, como un mecanismo de acceso remoto redundante.

“Utilizar herramientas de TI como esta permite a los atacantes crear una ‘puerta trasera’ adicional para ellos mismos en caso de que se descubran y reparen sus mecanismos de persistencia iniciales”, dijeron los investigadores. “Es menos probable que estas herramientas sean detectadas por antivirus o EDR y también es más probable que se descarten como falsos positivos”.

El Cobalt Strike Beacon se utiliza además como conducto para descargar una herramienta de C# denominada rubeus para el robo de credenciales, lo que en última instancia permite que el actor de amenazas se mueva lateralmente a un servidor de Windows con privilegios de administrador de dominio.

Los permisos elevados luego se arman para organizar un Ataque DCSynclo que permite al adversario simular el comportamiento de un controlador de dominio (corriente continua) y recuperar credenciales de otros controladores de dominio.

Otras herramientas utilizadas como parte del ataque incluyen una utilidad legítima llamada netscan.exe para escanear la red en busca de movimiento lateral, así como el software de sincronización de archivos rclone para extraer directorios de interés para el servicio de almacenamiento en la nube de MEGA.

Los hallazgos se producen cuando los investigadores del Equipo Cymru arrojaron más luz sobre el protocolo BackConnect (BC) utilizado por IcedID para ofrecer una funcionalidad adicional después del compromiso, incluida una Módulo VNC que proporciona un canal de acceso remoto.

“En el caso de BC, parece que hay dos operadores que administran el proceso general con funciones distintas”, dijeron los investigadores. señalado el mes pasado, agregando “gran parte de la actividad […] ocurre durante la semana laboral típica”.

El desarrollo también sigue a un informe de Proofpoint en noviembre de 2022 de que un resurgimiento en la actividad de Emotet se ha relacionado con la distribución de una nueva versión de IcedID.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Reacciones furiosas tras la huelga de hambre de los solicitantes de asilo por comida: ‘Esto también es un lujo para muchos holandeses’
Next: Virgin Orbit se compromete a regresar para el lanzamiento de un nuevo satélite en el Reino Unido

Related Stories

Con los Acton IV y Stanmore IV: Marshall lleva sus
  • Tecnología

Con los Acton IV y Stanmore IV: Marshall lleva sus altavoces al futuro del audio

teknomers 10 de Temmuz de 2026
Gracias a las rebajas, esta RTX 5070 con 12 Go
  • Tecnología

Gracias a las rebajas, esta RTX 5070 con 12 Go GDDR7 baja de los 600€

teknomers 10 de Temmuz de 2026
OpenAI recluta en París para integrar la publicidad en ChatGPT
  • Tecnología

OpenAI recluta en París para integrar la publicidad en ChatGPT

teknomers 10 de Temmuz de 2026

You May Have Missed

  • Deporte

Clasificación de la UEFA Conference League: Glens ‘merecen un gran reconocimiento’ tras la derrota ante RFS – Devine

teknomers 10 de Temmuz de 2026
  • General

¿Irán intenta asesinar a Donald Trump? Israel ha compartido sus sospechas con Estados Unidos

teknomers 10 de Temmuz de 2026
  • General

Trump despide a tres miembros de la Comisión de Asistencia Electoral antes de las elecciones de medio término

teknomers 10 de Temmuz de 2026
Francia-Marruecos (2-0): 1 tiro a puerta, ninguna ocasión clara… Las
  • Deporte

Francia-Marruecos (2-0): 1 tiro a puerta, ninguna ocasión clara… Las cifras paupérrimas de los Leones del Atlas ante los Bleus

teknomers 10 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.