Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los piratas informáticos de APT29 se dirigen a víctimas de alto valor utilizando servidores RDP no autorizados y PyRDP
  • Tecnología

Los piratas informáticos de APT29 se dirigen a víctimas de alto valor utilizando servidores RDP no autorizados y PyRDP

teknomers 18 de Aralık de 2024 (Last updated: 18 de Aralık de 2024) 4 minutes read
Los piratas informáticos de APT29 se dirigen a víctimas de


18 de diciembre de 2024Ravie LakshmananCiberespionaje/malware

Se ha observado que el actor de amenazas APT29 vinculado a Rusia reutiliza una metodología legítima de ataque de equipo rojo como parte de ataques cibernéticos que aprovechan archivos de configuración maliciosos del Protocolo de escritorio remoto (RDP).

La actividad, que ha tenido como objetivo gobiernos y fuerzas armadas, grupos de expertos, investigadores académicos y entidades ucranianas, implica la adopción de una técnica “PDR deshonesta” que fue previamente documentado por Black Hills Information Security en 2022, dijo Trend Micro en un informe.

“Una víctima de esta técnica daría control parcial de su máquina al atacante, lo que podría provocar una fuga de datos e instalación de malware”, afirman los investigadores Feike Hacquebord y Stephen Hilt. dicho.

Ciberseguridad

La empresa de ciberseguridad está rastreando al grupo de amenazas bajo su propio apodo Earth Koshchei, afirmando que los preparativos para la campaña comenzaron el 7 y 8 de agosto de 2024. Las campañas de RDP también fueron destacadas por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA). , Microsoft y Amazon Web Services (AWS) en octubre.

Los correos electrónicos de phishing fueron diseñados para engañar a los destinatarios para que lanzaran un archivo de configuración RDP malicioso adjunto al mensaje, lo que provocaba que sus máquinas se conectaran a un servidor RDP externo a través de uno de los 193 repetidores RDP del grupo. Se calcula que en un solo día se atacaron unas 200 víctimas de alto perfil, lo que indica la magnitud de la campaña.

El método de ataque descrito por Black Hill implica el uso de un proyecto de código abierto llamado PyRDP – descrito como una “herramienta y biblioteca Monster-in-the-Middle (MitM)” basada en Python, frente al servidor RDP real controlado por el adversario para minimizar el riesgo de detección.

Por lo tanto, cuando una víctima abre el archivo RDP, con nombre en código HUSTLECON, desde el mensaje de correo electrónico, inicia una conexión RDP saliente al relé PyRDP, que luego redirige la sesión a un servidor malicioso.

“Al establecer la conexión, el servidor fraudulento imita el comportamiento de un servidor RDP legítimo y explota la sesión para llevar a cabo diversas actividades maliciosas”, dijeron los investigadores. “Un vector de ataque principal implica que el atacante implemente scripts maliciosos o altere la configuración del sistema en la máquina de la víctima”.

Además de eso, el servidor proxy PyRDP permite al atacante obtener acceso a los sistemas de la víctima, realizar operaciones con archivos e inyectar cargas útiles maliciosas. El ataque culmina cuando el actor de la amenaza aprovecha la sesión RDP comprometida para filtrar datos confidenciales, incluidas credenciales y otra información patentada, a través del proxy.

Lo notable de este ataque es que la recopilación de datos se facilita mediante un archivo de configuración malicioso sin tener que implementar ningún malware personalizado, lo que permite que los actores de la amenaza pasen desapercibidos.

Ciberseguridad

Otra característica que merece mención es el uso de capas de anonimización como nodos de salida TOR para controlar los servidores RDP, así como proveedores de proxy residenciales y servicios VPN comerciales para acceder a servidores de correo legítimos que se emplearon para enviar correos electrónicos de phishing.

“Herramientas como PyRDP mejoran el ataque al permitir la interceptación y manipulación de conexiones RDP”, agregaron los investigadores. “PyRDP puede rastrear automáticamente unidades compartidas redirigidas por la víctima y guardar su contenido localmente en la máquina del atacante, lo que facilita la filtración de datos sin problemas”.

“Earth Koshchei utiliza nuevas metodologías a lo largo del tiempo para sus campañas de espionaje. No sólo prestan mucha atención a las vulnerabilidades nuevas y antiguas que les ayudan a obtener acceso inicial, sino que también analizan las metodologías y herramientas que desarrollan los equipos rojos”.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: ¿Se prohibirá otra empresa china en EE.UU. después de Huawei? “Se está considerando la prohibición del enrutador TP-Link”
Next: HC habla del posible fracaso de Mahomes

Related Stories

Meta frente a la UE: Facebook e Instagram considerados demasiado
  • Tecnología

Meta frente a la UE: Facebook e Instagram considerados demasiado adictivos

teknomers 12 de Temmuz de 2026
Proton VPN a 2,99 €/mes en lugar de 9,99 €/mes:
  • Tecnología

Proton VPN a 2,99 €/mes en lugar de 9,99 €/mes: la privacidad en línea a precio reducido

teknomers 12 de Temmuz de 2026
Almacenamiento en línea: últimas horas para aprovechar el almacenamiento pCloud
  • Tecnología

Almacenamiento en línea: últimas horas para aprovechar el almacenamiento pCloud de por vida por menos de 200€

teknomers 11 de Temmuz de 2026

You May Have Missed

  • General

Irán declara el cierre de Hormuz tras el impacto de un buque ‘no autorizado’ y advierte sobre una ‘respuesta severa’

teknomers 12 de Temmuz de 2026
Noruega-Inglaterra (1-2 a.p.): los Three Lions clasificados para las semifinales
  • Deporte

Noruega-Inglaterra (1-2 a.p.): los Three Lions clasificados para las semifinales por un hilo de rasguño

teknomers 12 de Temmuz de 2026
Meta frente a la UE: Facebook e Instagram considerados demasiado
  • Tecnología

Meta frente a la UE: Facebook e Instagram considerados demasiado adictivos

teknomers 12 de Temmuz de 2026
Canícula: 37 departamentos en alerta roja el domingo 12 de
  • Entretenimiento

Canícula: 37 departamentos en alerta roja el domingo 12 de julio, anuncia Météo-France

teknomers 12 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.