{"id":1092086,"date":"2023-12-14T20:09:24","date_gmt":"2023-12-14T20:09:24","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-grupo-oilrig-patrocinado-por-el-estado-irani-implementa-tres-nuevos-programas-de-descarga-de-malware\/"},"modified":"2023-12-14T20:09:28","modified_gmt":"2023-12-14T20:09:28","slug":"el-grupo-oilrig-patrocinado-por-el-estado-irani-implementa-tres-nuevos-programas-de-descarga-de-malware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-grupo-oilrig-patrocinado-por-el-estado-irani-implementa-tres-nuevos-programas-de-descarga-de-malware\/","title":{"rendered":"El grupo OilRig, patrocinado por el Estado iran\u00ed, implementa tres nuevos programas de descarga de malware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">14 de diciembre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Malware\/Ciberespionaje<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/El-grupo-OilRig-patrocinado-por-el-Estado-irani-implementa-tres.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>El actor de amenazas patrocinado por el estado iran\u00ed conocido como <strong>Plataforma petrolera<\/strong> implement\u00f3 tres descargadores de malware diferentes a lo largo de 2022 para mantener el acceso persistente a las organizaciones de v\u00edctimas ubicadas en Israel.<\/p>\n<p>Los tres nuevos descargadores han sido denominados ODAgent, OilCheck y OilBooster por la empresa eslovaca de ciberseguridad ESET.  Los ataques tambi\u00e9n implicaron el uso de una versi\u00f3n actualizada de un conocido descargador de OilRig denominado SampleCheck5000 (o SC5k).<\/p>\n<p>&#8220;Estos descargadores ligeros [&#8230;] se destacan por utilizar una de varias API leg\u00edtimas de servicios en la nube para [command-and-control] comunicaci\u00f3n y exfiltraci\u00f3n de datos: las API de Microsoft Graph OneDrive o Outlook, y la API de servicios web de Microsoft Office Exchange (EWS),&#8221; los investigadores de seguridad Zuzana Hromcov\u00e1 y Adam Burgher <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/oilrig-persistent-attacks-cloud-service-powered-downloaders\/\" target=\"_blank\">dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n<p>Al utilizar proveedores de servicios en la nube de renombre para la comunicaci\u00f3n de comando y control, el objetivo es mezclarse con el tr\u00e1fico de red aut\u00e9ntico y encubrir la infraestructura de ataque del grupo.<\/p>\n<p>Algunos de los objetivos de la campa\u00f1a incluyen una organizaci\u00f3n del sector de la salud, una empresa manufacturera y una organizaci\u00f3n gubernamental local, entre otros.  Se dice que todas las v\u00edctimas hab\u00edan sido atacadas previamente por el actor de amenazas.<\/p>\n<section class=\"check_two_webinar clear babsi\"> <span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span> <a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/zero-trust-attack-surface?source=inside\" target=\"_blank\" class=\"wn-head\"> <\/p>\n<p>Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad<\/p>\n<p> <\/a> <\/p>\n<p class=\"wn-description\">Las medidas de seguridad tradicionales no son suficientes en el mundo actual.  Es hora de adoptar la seguridad Zero Trust.  Proteja sus datos como nunca antes. <\/p>\n<p> <a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/zero-trust-attack-surface?source=inside\" target=\"_blank\" class=\"wn-button\">\u00danete ahora<\/a> <\/section>\n<p>El vector de acceso inicial exacto utilizado para comprometer los objetivos no est\u00e1 claro actualmente y no se sabe si los atacantes lograron mantener su punto de apoyo en las redes para implementar estos descargadores en varios momentos en 2022.<\/p>\n<p>OilRig, tambi\u00e9n conocido como APT34, Crambus, Cobalt Gypsy, Hazel Sandstorm (anteriormente EUROPIUM) y Helix Kitten, es un grupo de ciberespionaje iran\u00ed que se sabe que est\u00e1 activo desde al menos 2014 y utiliza una amplia gama de malware a su disposici\u00f3n para atacar entidades en Medio Oriente.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/1702584562_865_El-grupo-OilRig-patrocinado-por-el-Estado-irani-implementa-tres.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/1702584562_865_El-grupo-OilRig-patrocinado-por-el-Estado-irani-implementa-tres.jpg\" alt=\"Grupo de plataformas petroleras patrocinado por el Estado iran\u00ed\" border=\"0\" data-original-height=\"334\" data-original-width=\"728\" title=\"Grupo de plataformas petroleras patrocinado por el Estado iran\u00ed\"\/><\/a><\/div>\n<p>S\u00f3lo este a\u00f1o, se ha observado que el equipo de hackers aprovecha novedosos malware como MrPerfectionManager, PowerExchange, Solar, Mango y Menorah.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/1702584563_734_El-grupo-OilRig-patrocinado-por-el-Estado-irani-implementa-tres.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/1702584563_734_El-grupo-OilRig-patrocinado-por-el-Estado-irani-implementa-tres.jpg\" alt=\"Grupo de plataformas petroleras patrocinado por el Estado iran\u00ed\" border=\"0\" data-original-height=\"440\" data-original-width=\"728\" title=\"Grupo de plataformas petroleras patrocinado por el Estado iran\u00ed\"\/><\/a><\/div>\n<p>ODAgent, detectado por primera vez en febrero de 2022, es un descargador de C#\/.NET que utiliza la API de Microsoft OneDrive para comunicaciones de comando y control (C2), lo que permite al actor de amenazas descargar y ejecutar cargas \u00fatiles y filtrar archivos preparados.<\/p>\n<p>SampleCheck5000, por otro lado, est\u00e1 dise\u00f1ado para interactuar con una cuenta de correo compartida de Microsoft Exchange para descargar y ejecutar herramientas OilRig adicionales utilizando la API de servicios web de Office Exchange (EWS).<\/p>\n<p>OilBooster, al igual que ODAgent, utiliza la API de Microsoft OneDrive para C2, mientras que OilCheck adopta la misma t\u00e9cnica que SampleCheck5000 para extraer comandos incrustados en borradores de mensajes.  Pero en lugar de utilizar la API de EWS, aprovecha la API de Microsoft Graph para las comunicaciones de red.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pjHvTZON\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Alerta-F5-advierte-sobre-ataques-activos-que-aprovechan-la-vulnerabilidad.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>OilBooster tambi\u00e9n es similar a OilCheck en que emplea la API de Microsoft Graph para conectarse a una cuenta de Microsoft Office 365.  Lo que es diferente esta vez es que la API se utiliza para interactuar con una cuenta OneDrive controlada por un actor en lugar de una cuenta de Outlook para recuperar comandos y cargas \u00fatiles de carpetas espec\u00edficas de la v\u00edctima.<\/p>\n<p>Estas herramientas tambi\u00e9n comparten similitudes con las puertas traseras MrPerfectionManager y PowerExchange cuando se trata de utilizar protocolos C2 basados \u200b\u200ben correo electr\u00f3nico para filtrar datos, aunque en el caso de este \u00faltimo, el servidor Exchange de la organizaci\u00f3n v\u00edctima se utiliza para enviar mensajes a la cuenta de correo electr\u00f3nico del atacante.<\/p>\n<p>&#8220;En todos los casos, quienes descargan utilizan una cuenta compartida (correo electr\u00f3nico o almacenamiento en la nube) operada por OilRig para intercambiar mensajes con los operadores de OilRig; la misma cuenta suele ser compartida por varias v\u00edctimas&#8221;, explicaron los investigadores.<\/p>\n<p>&#8220;Los descargadores acceden a esta cuenta para descargar comandos y cargas \u00fatiles adicionales preparadas por los operadores, y para cargar resultados de comandos y archivos preparados&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/12\/iranian-state-sponsored-oilrig-group.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80214 de diciembre de 2023\ue804Sala de redacci\u00f3nMalware\/Ciberespionaje El actor de amenazas patrocinado por el estado iran\u00ed conocido como<\/p>\n","protected":false},"author":1,"featured_media":1092087,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,33243,528,4662,2386,4881,7691,4668,201033,4669,4654,201031,4659,4653,4655,2431,221005,68964,231,6509,4666,4665,201032,1130,4660],"class_list":["post-1092086","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-descarga","tag-estado","tag-filtracion-de-datos","tag-grupo","tag-implementa","tag-irani","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevos","tag-oilrig","tag-patrocinado","tag-por","tag-programas","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-tres","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1092086","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1092086"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1092086\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1092087"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1092086"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1092086"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1092086"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}