Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Hacktivistas explotan vulnerabilidad de WinRAR en ataques contra Rusia y Bielorrusia
  • Tecnología

Hacktivistas explotan vulnerabilidad de WinRAR en ataques contra Rusia y Bielorrusia

teknomers 3 de Eylül de 2024 (Last updated: 3 de Eylül de 2024) 4 minutes read
Hacktivistas explotan vulnerabilidad de WinRAR en ataques contra Rusia y


3 de septiembre de 2024Ravie LakshmananRansomware / Malware

Un grupo hacktivista conocido como Yegua líder Se ha vinculado a ataques cibernéticos que tienen como objetivo exclusivamente a organizaciones ubicadas en Rusia y Bielorrusia.

“Head Mare utiliza métodos más actualizados para obtener acceso inicial”, afirma Kaspersky dicho en un análisis del lunes sobre las tácticas y herramientas del grupo.

“Por ejemplo, los atacantes aprovecharon la vulnerabilidad CVE-2023-38831 relativamente reciente en WinRAR, que permite al atacante ejecutar código arbitrario en el sistema a través de un archivo especialmente preparado. Este enfoque permite al grupo distribuir y disfrazar la carga maliciosa de manera más efectiva”.

Ciberseguridad

Head Mare, activo desde 2023, es uno de los grupos hacktivistas que atacan a organizaciones rusas en el contexto del conflicto ruso-ucraniano que comenzó un año antes.

También mantiene una presencia en Xdonde ha filtrado información sensible y documentación interna de las víctimas. Entre los objetivos de los ataques del grupo se encuentran los sectores de los gobiernos, el transporte, la energía, la fabricación y el medio ambiente.

A diferencia de otras personalidades hacktivistas que probablemente operan con el objetivo de infligir “máximo daño” a las empresas de los dos países, Head Mare también encripta los dispositivos de las víctimas utilizando LockBit para Windows y Babuk para Linux (ESXi), y exige un rescate para desencriptar los datos.

También forman parte de su conjunto de herramientas PhantomDL y PhantomCore, el primero de los cuales es un Puerta trasera basada en Go que es capaz de entregar cargas útiles adicionales y cargar archivos de interés a un servidor de comando y control (C2).

PhantomCore (también conocido como PhantomRAT), un predecesor de PhantomDL, es un troyano de acceso remoto con características similares, que permite descargar archivos del servidor C2, cargar archivos desde un host comprometido al servidor C2, así como ejecutar comandos en el intérprete de línea de comandos cmd.exe.

“Los atacantes crean tareas programadas y valores de registro denominados MicrosoftUpdateCore y MicrosoftUpdateCoree para disfrazar su actividad como tareas relacionadas con el software de Microsoft”, dijo Kaspersky.

“También descubrimos que algunas muestras de LockBit utilizadas por el grupo tenían los siguientes nombres: OneDrive.exe [and] VLC.exe. Estas muestras se encontraban en el directorio C:ProgramData y se hacían pasar por aplicaciones legítimas de OneDrive y VLC.

Se ha descubierto que ambos artefactos se distribuyen a través de campañas de phishing en forma de documentos comerciales con extensiones dobles (por ejemplo, número 201-5_10вэ_001-24 al pie de ekran-sho-2.pdf.exe o este al pie de página.pdf.exe).

Ciberseguridad

Otro componente crucial de su arsenal de ataque es Sliver, un marco C2 de código abierto y una colección de varias herramientas disponibles públicamente como rsockstun, ngrok y Mimikatz que facilitan el descubrimiento, el movimiento lateral y la recolección de credenciales.

Las intrusiones culminan con la implementación de LockBit o Babuk, según el entorno objetivo, seguido de la publicación de una nota de rescate que exige un pago a cambio de un descifrador para desbloquear los archivos.

“Las tácticas, métodos, procedimientos y herramientas utilizadas por el grupo Head Mare son generalmente similares a las de otros grupos asociados con clústeres que atacan a organizaciones en Rusia y Bielorrusia en el contexto del conflicto ruso-ucraniano”, dijo el proveedor de ciberseguridad ruso.

“Sin embargo, el grupo se distingue por utilizar malware personalizado como PhantomDL y PhantomCore, además de explotar una vulnerabilidad relativamente nueva, CVE-2023-38831, para infiltrarse en la infraestructura de sus víctimas en campañas de phishing”.

¿Te ha parecido interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: US Open, cuartos de final: Zverev pelea contra Fritz
Next: Pero no una película biográfica sobre Britney Spears, sino un musical con ella.

Related Stories

Tres técnicas que permiten dejar un EDR completamente ciego en
  • Tecnología

Tres técnicas que permiten dejar un EDR completamente ciego en Windows detectadas, los expertos lanzan la alerta

teknomers 16 de Temmuz de 2026
Por las Rebajas, Fnac reduce el precio del Nothing Phone
  • Tecnología

Por las Rebajas, Fnac reduce el precio del Nothing Phone (3a) Lite a menos de 200 euros

teknomers 16 de Temmuz de 2026
Prueba del TCL Z100: el home cinema inalámbrico nunca ha
  • Tecnología

Prueba del TCL Z100: el home cinema inalámbrico nunca ha sido tan sencillo

teknomers 16 de Temmuz de 2026

You May Have Missed

  • Deporte

Nottingham Forest: Oliver Glasner sobre su nuevo desafío – “Nadie quiere divorciarse”

teknomers 16 de Temmuz de 2026
  • General

Cómo el papel aluminio puede ayudar a mantener tu hogar más cálido: Un rollo de papel aluminio podría ayudarte a estar más cómodo este invierno —aquí te explicamos cómo funciona en ventanas con corrientes de aire.

teknomers 16 de Temmuz de 2026
  • General

Donald Trump envió un correo al nuevo procurador de Seattle menos de una hora después de su nombramiento.

teknomers 16 de Temmuz de 2026
  • Finanzas

Incendio en los Pirineos Orientales: 180 agricultores afectados, los duraznos y la vid han sufrido mucho calor y… sed.

teknomers 16 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.