{"id":1078694,"date":"2023-12-05T21:46:27","date_gmt":"2023-12-05T21:46:27","guid":{"rendered":"https:\/\/teknomers.com\/es\/microsoft-advierte-que-apt28-respaldado-por-el-kremlin-explota-una-vulnerabilidad-critica-de-outlook\/"},"modified":"2023-12-05T21:46:31","modified_gmt":"2023-12-05T21:46:31","slug":"microsoft-advierte-que-apt28-respaldado-por-el-kremlin-explota-una-vulnerabilidad-critica-de-outlook","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/microsoft-advierte-que-apt28-respaldado-por-el-kremlin-explota-una-vulnerabilidad-critica-de-outlook\/","title":{"rendered":"Microsoft advierte que APT28, respaldado por el Kremlin, explota una vulnerabilidad cr\u00edtica de Outlook"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/Microsoft-advierte-que-APT28-respaldado-por-el-Kremlin-explota-una.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Microsoft dijo el lunes que detect\u00f3 actividad de un estado-naci\u00f3n respaldado por el Kremlin que explotaba una falla de seguridad cr\u00edtica ahora parcheada en su servicio de correo electr\u00f3nico Outlook para obtener acceso no autorizado a las cuentas de las v\u00edctimas dentro de los servidores Exchange.<\/p>\n<p>El gigante tecnol\u00f3gico <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2023\/03\/24\/guidance-for-investigating-attacks-using-cve-2023-23397\/\" target=\"_blank\">atribuido<\/a> las intrusiones a un actor de amenazas al que llam\u00f3 <strong>Ventisca del bosque<\/strong> (anteriormente Strontium), que tambi\u00e9n tiene un amplio seguimiento bajo los apodos APT28, BlueDelta, Fancy Bear, FROZENLAKE, Iron Twilight, Sednit, Sofacy y TA422.<\/p>\n<p>La vulnerabilidad de seguridad en cuesti\u00f3n es CVE-2023-23397 (puntuaci\u00f3n CVSS: 9,8), un error cr\u00edtico de escalada de privilegios que podr\u00eda permitir a un adversario acceder al hash Net-NTLMv2 de un usuario que luego podr\u00eda usarse para realizar un ataque de retransmisi\u00f3n contra otro servicio para autenticarse como usuario.  Microsoft lo parch\u00f3 en marzo de 2023.<\/p>\n<p>El objetivo, seg\u00fan el Comando Cibern\u00e9tico Polaco (DKWOC), es obtener acceso no autorizado a buzones de correo de entidades p\u00fablicas y privadas del pa\u00eds.<\/p>\n<section class=\"check_two_webinar clear badbox\"> <span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span> <a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/app-detection-response?source=inside\" target=\"_blank\" class=\"wn-head\"> <\/p>\n<p>Aprenda a detectar amenazas internas con estrategias de respuesta de aplicaciones<\/p>\n<p> <\/a> <\/p>\n<p class=\"wn-description\">Descubra c\u00f3mo la detecci\u00f3n de aplicaciones, la respuesta y el modelado de comportamiento automatizado pueden revolucionar su defensa contra amenazas internas.<\/p>\n<p> <a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/app-detection-response?source=inside\" target=\"_blank\" class=\"wn-button\">\u00danete ahora<\/a> <\/section>\n<p>&#8220;En la siguiente etapa de actividad maliciosa, el adversario modifica los permisos de carpeta dentro del buz\u00f3n de la v\u00edctima&#8221;, DKWOC <a rel=\"nofollow noopener\" href=\"https:\/\/www.wojsko-polskie.pl\/woc\/articles\/aktualnosci-w\/detecting-malicious-activity-against-microsoft-exchange-servers\/\" target=\"_blank\">dicho<\/a>.  &#8220;En la mayor\u00eda de los casos, las modificaciones consisten en cambiar los permisos predeterminados del grupo &#8216;Predeterminado&#8217; (todos los usuarios autenticados en la organizaci\u00f3n de Exchange) de &#8216;Ninguno&#8217; a &#8216;Propietario'&#8221;.<\/p>\n<p>Al hacerlo, cualquier persona autenticada dentro de la organizaci\u00f3n puede leer el contenido de las carpetas de los buzones de correo a las que se les ha otorgado este permiso, lo que permite al actor de amenazas extraer informaci\u00f3n valiosa de objetivos de alto valor.<\/p>\n<p>&#8220;Cabe destacar que la introducci\u00f3n de tales modificaciones permite mantener el acceso no autorizado al contenido del buz\u00f3n incluso despu\u00e9s de perder el acceso directo al mismo&#8221;, a\u00f1adi\u00f3 DKWOC.<\/p>\n<p>Microsoft revel\u00f3 anteriormente que la deficiencia de seguridad hab\u00eda sido utilizada como arma por actores de amenazas con sede en Rusia como un d\u00eda cero en ataques dirigidos a los sectores gubernamental, de transporte, energ\u00e9tico y militar en Europa desde abril de 2022.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/1701812787_156_Microsoft-advierte-que-APT28-respaldado-por-el-Kremlin-explota-una.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/1701812787_156_Microsoft-advierte-que-APT28-respaldado-por-el-Kremlin-explota-una.jpg\" alt=\"Vulnerabilidad de Outlook\" border=\"0\" data-original-height=\"604\" data-original-width=\"728\" title=\"Vulnerabilidad de Outlook\"\/><\/a><\/div>\n<p>Posteriormente, en junio de 2023, la empresa de ciberseguridad Recorded Future revel\u00f3 detalles de una campa\u00f1a de phishing orquestada por APT28 que explota m\u00faltiples vulnerabilidades en el software de correo web de c\u00f3digo abierto Roundcube, al tiempo que se\u00f1al\u00f3 que la campa\u00f1a se superpone con la actividad que emplea la vulnerabilidad de Microsoft Outlook.<\/p>\n<p>La Agencia Nacional de Ciberseguridad de Francia (ANSSI), a finales de octubre, tambi\u00e9n <a rel=\"nofollow noopener\" href=\"https:\/\/www.cert.ssi.gouv.fr\/cti\/CERTFR-2023-CTI-009\/\" target=\"_blank\">culpada<\/a> el equipo de pirater\u00eda para apuntar a entidades gubernamentales, empresas, universidades, institutos de investigaci\u00f3n y grupos de expertos desde la segunda mitad de 2021 aprovechando varias fallas, contando CVE-2023-23397, para implementar <a rel=\"nofollow noopener\" href=\"https:\/\/securityscorecard.com\/research\/apt28s-stealer-called-credomap\/\" target=\"_blank\">implantes<\/a> como CredoMap.<\/p>\n<p>Se considera que el grupo patrocinado por el Estado est\u00e1 vinculado a la Unidad 26165 de la Direcci\u00f3n General del Estado Mayor de las Fuerzas Armadas de la Federaci\u00f3n Rusa (GRU), el <a rel=\"nofollow noopener\" href=\"https:\/\/www.bbc.com\/news\/world-europe-56798001\" target=\"_blank\">brazo de inteligencia extranjera<\/a> del Ministerio de Defensa.<\/p>\n<p>En los \u00faltimos meses, tambi\u00e9n se ha relacionado con ataques a varias organizaciones en Francia y Ucrania, as\u00ed como con el abuso del fallo WinRAR (CVE-2023-38831) para robar datos de inicio de sesi\u00f3n del navegador mediante un script de PowerShell llamado IRONJAW.<\/p>\n<p>La empresa de ciberseguridad Proofpoint, en un <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/ta422s-dedicated-exploitation-loop-same-week-after-week\" target=\"_blank\">an\u00e1lisis independiente<\/a>dijo que observ\u00f3 campa\u00f1as de phishing de gran volumen a finales de marzo y septiembre de 2023 que aprovecharon CVE-2023-23397 y CVE-2023-38831, respectivamente, para objetivos en Europa y Am\u00e9rica del Norte.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pjHvTZON\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Alerta-F5-advierte-sobre-ataques-activos-que-aprovechan-la-vulnerabilidad.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Sus acciones indican que buscan descubrir redes f\u00e1cilmente explotables que tengan inter\u00e9s estrat\u00e9gico para el adversario; sin embargo, no est\u00e1 claro si la cantidad de correos electr\u00f3nicos (m\u00e1s de 10.000 en total desde agosto de 2023) ha sido una decisi\u00f3n t\u00e1ctica o un error del operador&#8221;, Greg Lesnewich, investigador senior de amenazas en Proofpoint, dijo a The Hacker News.<\/p>\n<p>&#8220;De todos modos, las cargas \u00fatiles, t\u00e1cticas y t\u00e9cnicas utilizadas en estas campa\u00f1as reflejan el cambio definitivo de TA422 desde el malware compilado para el acceso persistente en redes espec\u00edficas hacia un acceso m\u00e1s liviano y orientado a credenciales&#8221;.<\/p>\n<p>&#8220;Forest Blizzard refina continuamente su huella mediante el empleo de nuevas t\u00e9cnicas personalizadas y malware, lo que sugiere que es un grupo bien capacitado y con buenos recursos que plantea desaf\u00edos a largo plazo para la atribuci\u00f3n y el seguimiento de sus actividades&#8221;, dijo Microsoft.<\/p>\n<p>La popularidad de Microsoft Outlook en entornos empresariales sirve como un lucrativo vector de ataque, convirti\u00e9ndolo en &#8220;una de las &#8216;puertas&#8217; cr\u00edticas responsables de introducir diversas amenazas cibern\u00e9ticas en las organizaciones&#8221;, seg\u00fan Check Point, que <a rel=\"nofollow noopener\" href=\"https:\/\/research.checkpoint.com\/2023\/the-obvious-the-normal-and-the-advanced-a-comprehensive-analysis-of-outlook-attack-vectors\/\" target=\"_blank\">expuso los distintos medios<\/a> por lo que los malos actores podr\u00edan abusar del servicio para realizar sus haza\u00f1as.<\/p>\n<p>El desarrollo llega como The Guardian. <a rel=\"nofollow noopener\" href=\"https:\/\/www.theguardian.com\/business\/2023\/dec\/04\/sellafield-nuclear-site-hacked-groups-russia-china\" target=\"_blank\">reportado<\/a> que el sitio de desechos nucleares de Sellafield en el Reino Unido hab\u00eda sido violado por grupos de piratas inform\u00e1ticos asociados con Rusia y China para desplegar &#8220;malware durmiente&#8221; ya en 2015. Sin embargo, el gobierno del Reino Unido <a rel=\"nofollow noopener\" href=\"https:\/\/www.gov.uk\/government\/news\/response-to-a-news-report-on-cyber-security-at-sellafield\" target=\"_blank\">dicho<\/a> no encontr\u00f3 evidencia que sugiriera que sus redes hubieran sido &#8220;atacadas con \u00e9xito por actores estatales&#8221;.<\/p>\n<p><em>(La historia se actualiz\u00f3 despu\u00e9s de la publicaci\u00f3n para incluir detalles adicionales de la campa\u00f1a de Proofpoint).<\/em><\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/12\/microsoft-warns-of-kremlin-backed-apt28.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft dijo el lunes que detect\u00f3 actividad de un estado-naci\u00f3n respaldado por el Kremlin que explotaba una falla<\/p>\n","protected":false},"author":1,"featured_media":1078695,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,6088,160020,4661,4664,2458,6614,4662,3443,4668,201033,7983,4654,201031,4659,4653,4655,11751,231,23173,4666,4665,201032,158,4014,4660],"class_list":["post-1078694","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-advierte","tag-apt28","tag-ataques-ciberneticos","tag-como-hackear","tag-critica","tag-explota","tag-filtracion-de-datos","tag-kremlin","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-microsoft","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-outlook","tag-por","tag-respaldado","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-una","tag-vulnerabilidad","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1078694","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1078694"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1078694\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1078695"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1078694"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1078694"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1078694"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}