El actor de amenazas conocido como COLDRIVER ha seguido participando en actividades de robo de credenciales contra entidades que son de inter\u00e9s estrat\u00e9gico para Rusia y, al mismo tiempo, ha mejorado sus capacidades de evasi\u00f3n de detecci\u00f3n.<\/p>\n
El equipo de Microsoft Threat Intelligence est\u00e1 rastreando el cl\u00faster como Ventisca estelar<\/strong> (anteriormente SEABORGIUM). Tambi\u00e9n se llama Blue Callisto, BlueCharlie (o TAG-53), Calisto (alternativamente escrito Callisto) y TA446.<\/p>\n El adversario “contin\u00faa atacando prol\u00edficamente a personas y organizaciones involucradas en asuntos internacionales, defensa y apoyo log\u00edstico a Ucrania, as\u00ed como al mundo acad\u00e9mico, empresas de seguridad de la informaci\u00f3n y otras entidades alineadas con los intereses estatales rusos”, dijo Redmond. dicho<\/a>.<\/p>\n Star Blizzard, vinculada al Servicio Federal de Seguridad (FSB) de Rusia, tiene un historial de creaci\u00f3n de dominios similares que se hacen pasar por las p\u00e1ginas de inicio de sesi\u00f3n de empresas espec\u00edficas. Se sabe que est\u00e1 activo desde al menos 2017.<\/p>\n Descifrando el c\u00f3digo: aprenda c\u00f3mo los ciberatacantes explotan la psicolog\u00eda humana<\/p>\n <\/a> <\/p>\n \u00bfAlguna vez te has preguntado por qu\u00e9 la ingenier\u00eda social es tan eficaz? Profundice en la psicolog\u00eda de los ciberatacantes en nuestro pr\u00f3ximo seminario web.<\/p>\n \u00danete ahora<\/a> <\/section>\n En agosto de 2023, Recorded Future revel\u00f3 94 nuevos dominios que forman parte de la infraestructura de ataque del actor de amenazas, la mayor\u00eda de los cuales presentan palabras clave relacionadas con la tecnolog\u00eda de la informaci\u00f3n y las criptomonedas.<\/p>\n Microsoft dijo que observ\u00f3 al adversario aprovechando scripts del lado del servidor para evitar el escaneo automatizado de la infraestructura controlada por el actor a partir de abril de 2023, alej\u00e1ndose de hCaptcha para determinar objetivos de inter\u00e9s y redirigiendo la sesi\u00f3n de navegaci\u00f3n al servidor Evilginx.<\/p>\n El c\u00f3digo JavaScript del lado del servidor est\u00e1 dise\u00f1ado para verificar si el navegador tiene alg\u00fan complemento instalado, si se accede a la p\u00e1gina mediante una herramienta de automatizaci\u00f3n como Selenium o PhantomJS, y transmitir los resultados al servidor en forma de una solicitud HTTP POST.<\/p>\n “Despu\u00e9s de la solicitud POST, el servidor redirector eval\u00faa los datos recopilados del navegador y decide si permite la redirecci\u00f3n continua del navegador”, dijo Microsoft.<\/p>\n “Cuando se llega a un buen veredicto, el navegador recibe una respuesta del servidor de redirecci\u00f3n, redirigiendo a la siguiente etapa de la cadena, que es un hCaptcha para que el usuario lo resuelva o directamente al servidor Evilginx”.<\/p>\n Star Blizzard tambi\u00e9n utiliza recientemente servicios de marketing por correo electr\u00f3nico como HubSpot y MailerLite para crear campa\u00f1as que sirvan como punto de partida de la cadena de redireccionamiento que culmina en el servidor Evilginx que aloja la p\u00e1gina de recolecci\u00f3n de credenciales.<\/p>\n Adem\u00e1s, se ha observado que el actor de amenazas utiliza un proveedor de servicios de nombres de dominio (DNS) para resolver la infraestructura de dominio registrada del actor, enviando se\u00f1uelos PDF protegidos con contrase\u00f1a que incrustan los enlaces para evadir los procesos de seguridad del correo electr\u00f3nico y alojar los archivos en Proton Drive.<\/p>\n Eso no es todo. En una se\u00f1al de que el actor de amenazas est\u00e1 controlando activamente los informes p\u00fablicos sobre sus t\u00e1cticas y t\u00e9cnicas, ahora ha actualizado su algoritmo de generaci\u00f3n de dominios (DGA) para incluir una lista m\u00e1s aleatoria de palabras al nombrarlas.<\/p>\n A pesar de estos cambios, “las actividades de Star Blizzard siguen centradas en el robo de credenciales de correo electr\u00f3nico, principalmente dirigidas a proveedores de correo electr\u00f3nico basados \u200b\u200ben la nube que alojan cuentas de correo electr\u00f3nico organizacionales y\/o personales”, dijo Microsoft.<\/p>\n “Star Blizzard se mantiene constante en el uso de pares de VPS dedicados para alojar la infraestructura controlada por el actor (redirector + servidores Evilginx) utilizada para actividades de phishing, donde cada servidor generalmente aloja un dominio registrado por el actor por separado”.<\/p>\n El acontecimiento se produce cuando el Reino Unido denunci\u00f3 a Star Blizzard por “intentos sostenidos y fallidos de interferir en los procesos pol\u00edticos del Reino Unido” apuntando a personas y entidades de alto perfil a trav\u00e9s de operaciones cibern\u00e9ticas.<\/p>\n Adem\u00e1s de vincular Star Blizzard con el Centro 18, un elemento subordinado dentro del FSB, el gobierno del Reino Unido sancion\u00f3 a dos miembros<\/a> del equipo de hackers \u2013 Ruslan Aleksandrovich Peretyatko y Andrey Stanislavovich Korinets (alias Alexey Doguzhiev) \u2013 por su participaci\u00f3n en las campa\u00f1as de phishing.<\/p>\n La actividad “result\u00f3 en el acceso no autorizado y la exfiltraci\u00f3n de datos confidenciales, con el objetivo de socavar a las organizaciones del Reino Unido y, m\u00e1s ampliamente, al gobierno del Reino Unido”, dijo.<\/p>\n <\/p>\n![\"T\u00e1cticas](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/Microsoft-advierte-sobre-la-evolucion-de-las-tacticas-de-evasion.jpg\" "\\"T\u00e1cticas")
<\/a><\/div>\n<\/a><\/center><\/div>\nReino Unido sanciona a dos miembros de Star Blizzard<\/h3>\n