{"id":1092411,"date":"2023-12-15T01:20:43","date_gmt":"2023-12-15T01:20:43","guid":{"rendered":"https:\/\/teknomers.com\/es\/apt29-vinculado-a-svr-ruso-apunta-a-servidores-jetbrains-teamcity-en-ataques-continuos\/"},"modified":"2023-12-15T01:20:47","modified_gmt":"2023-12-15T01:20:47","slug":"apt29-vinculado-a-svr-ruso-apunta-a-servidores-jetbrains-teamcity-en-ataques-continuos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/apt29-vinculado-a-svr-ruso-apunta-a-servidores-jetbrains-teamcity-en-ataques-continuos\/","title":{"rendered":"APT29 vinculado a SVR ruso apunta a servidores JetBrains TeamCity en ataques continuos"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/APT29-vinculado-a-SVR-ruso-apunta-a-servidores-JetBrains-TeamCity.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Los actores de amenazas afiliados al Servicio de Inteligencia Exterior de Rusia (SVR) se han dirigido a servidores JetBrains TeamCity sin parches en ataques generalizados desde septiembre de 2023.<\/p>\n<p>La actividad ha estado vinculada a un grupo de estado-naci\u00f3n conocido como <strong>APT29<\/strong>, que tambi\u00e9n se rastrea como BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (anteriormente Nobelium) y The Dukes.  Es notable por el ataque a la cadena de suministro dirigido a SolarWinds y sus clientes en 2020.<\/p>\n<p>&#8220;Sin embargo, se ha observado que el SVR utiliza el acceso inicial obtenido al explotar TeamCity CVE para escalar sus privilegios, moverse lateralmente, implementar puertas traseras adicionales y tomar otras medidas para garantizar un acceso persistente y a largo plazo a los entornos de red comprometidos&#8221;. agencias de ciberseguridad de Polonia, el Reino Unido y los EE. UU. <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2023\/12\/13\/cisa-and-partners-release-advisory-russian-svr-affiliated-cyber-actors-exploiting-cve-2023-42793\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>La vulnerabilidad en cuesti\u00f3n es CVE-2023-42793 (puntuaci\u00f3n CVSS: 9,8), una falla de seguridad cr\u00edtica que podr\u00eda ser utilizada como arma por atacantes no autenticados para lograr la ejecuci\u00f3n remota de c\u00f3digo en los sistemas afectados.  Desde entonces ha sido objeto de explotaci\u00f3n activa por <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/twitter.com\/PRODAFT\/status\/1708586257444430019\" target=\"_blank\">equipos de pirater\u00eda<\/a>incluidos los asociados con Corea del Norte, para la distribuci\u00f3n de malware.<\/p>\n<section class=\"check_two_webinar clear babsi\"> <span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span> <a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/zero-trust-attack-surface?source=inside\" target=\"_blank\" class=\"wn-head\"> <\/p>\n<p>Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad<\/p>\n<p> <\/a> <\/p>\n<p class=\"wn-description\">Las medidas de seguridad tradicionales no son suficientes en el mundo actual.  Es hora de adoptar la seguridad Zero Trust.  Proteja sus datos como nunca antes. <\/p>\n<p> <a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/zero-trust-attack-surface?source=inside\" target=\"_blank\" class=\"wn-button\">\u00danete ahora<\/a> <\/section>\n<p>&#8220;La explotaci\u00f3n de TeamCity generalmente resultaba en la ejecuci\u00f3n de c\u00f3digo con altos privilegios, lo que otorgaba al SVR una posici\u00f3n ventajosa en el entorno de red&#8221;, afirman las agencias. <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/cert.pl\/en\/posts\/2023\/12\/apt29-teamcity\/\" target=\"_blank\">anotado<\/a>.<\/p>\n<p>&#8220;Si se ve comprometido, el acceso a un servidor TeamCity proporcionar\u00eda a los actores maliciosos acceso al c\u00f3digo fuente del desarrollador de software, firma de certificados y la capacidad de subvertir los procesos de compilaci\u00f3n e implementaci\u00f3n de software; acceso que un actor malicioso podr\u00eda utilizar para llevar a cabo operaciones de la cadena de suministro&#8221;.<\/p>\n<p>Un acceso inicial exitoso suele ir seguido de reconocimiento, escalada de privilegios, movimiento lateral y exfiltraci\u00f3n de datos, al mismo tiempo que se toman medidas para evadir la detecci\u00f3n utilizando una herramienta de c\u00f3digo abierto llamada <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/github.com\/wavestone-cdt\/EDRSandblast\" target=\"_blank\">EDRSyBlast<\/a>.  El objetivo final de los ataques es implementar una puerta trasera con nombre en c\u00f3digo GraphicalProton que funciona como un cargador para entregar cargas \u00fatiles adicionales.<\/p>\n<p>GraphicalProton, tambi\u00e9n conocido como VaporRage, aprovecha OneDrive como canal de comunicaci\u00f3n principal de comando y control (C2), con Dropbox tratado como un mecanismo alternativo.  El actor de amenazas lo ha utilizado como parte de una campa\u00f1a en curso denominada Diplomatic Orbiter que se\u00f1ala a las agencias diplom\u00e1ticas de todo el mundo.<\/p>\n<p>Se dice que hasta 100 dispositivos ubicados en EE. UU., Europa, Asia y Australia se vieron comprometidos como resultado de lo que se sospecha que son ataques oportunistas.<\/p>\n<p>objetivos de la <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/teamcity-intrusion-saga-apt29-suspected-exploiting-cve-2023-42793\" target=\"_blank\">campa\u00f1a<\/a> incluir una asociaci\u00f3n comercial de energ\u00eda;  empresas que proporcionan software para facturaci\u00f3n, dispositivos m\u00e9dicos, atenci\u00f3n al cliente, seguimiento de empleados, gesti\u00f3n financiera, marketing, ventas y videojuegos;  as\u00ed como empresas de hosting, fabricantes de herramientas y peque\u00f1as y grandes empresas de TI.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/APT29-vinculado-a-SVR-ruso-apunta-a-servidores-JetBrains-TeamCity.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/APT29-vinculado-a-SVR-ruso-apunta-a-servidores-JetBrains-TeamCity.png\" alt=\"Servidores TeamCity\" border=\"0\" data-original-height=\"474\" data-original-width=\"1280\" title=\"Servidores TeamCity\"\/><\/a><\/div>\n<p>La divulgaci\u00f3n se produce cuando Microsoft revel\u00f3 el ataque m\u00faltiple de Rusia al sector agr\u00edcola de Ucrania entre junio y septiembre de 2023 para penetrar redes, exfiltrar datos y desplegar malware destructivo como SharpWipe (tambi\u00e9n conocido como WalnutWipe).<\/p>\n<p>Las intrusiones se han vinculado a dos grupos de estados-naci\u00f3n con nombre en c\u00f3digo Aqua Blizzard (anteriormente Actinium) y Seashell Blizzard (anteriormente Iridium), respectivamente.<\/p>\n<p>Tambi\u00e9n se ha observado que Seashell Blizzard aprovecha el software pirateado de Microsoft Office que alberga la puerta trasera DarkCrystalRAT (tambi\u00e9n conocida como DCRat) para obtener acceso inicial, us\u00e1ndolo posteriormente para descargar una carga \u00fatil de segunda etapa llamada Shadowlink que se hace pasar por Microsoft Defender pero, en realidad, instala un Servicio TOR para acceso remoto subrepticio.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pjHvTZON\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Alerta-F5-advierte-sobre-ataques-activos-que-aprovechan-la-vulnerabilidad.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Midnight Blizzard adopt\u00f3 un enfoque de fregadero, utilizando contrase\u00f1as en aerosol, credenciales adquiridas de terceros, campa\u00f1as cre\u00edbles de ingenier\u00eda social a trav\u00e9s de Teams y abuso de servicios en la nube para infiltrarse en entornos de nube&#8221;, dijo el gigante tecnol\u00f3gico. <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/blogs.microsoft.com\/on-the-issues\/2023\/12\/07\/russia-ukraine-digital-threat-celebrity-cameo-mtac\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>Microsoft destac\u00f3 adem\u00e1s a un actor de influencia afiliado a Rusia al que llama Storm-1099 (tambi\u00e9n conocido como Doppelganger) por llevar a cabo sofisticadas operaciones de influencia pro Rusia dirigidas a partidarios internacionales de Ucrania desde la primavera de 2022.<\/p>\n<p>Otros esfuerzos de influencia incluyen la falsificaci\u00f3n de los principales medios de comunicaci\u00f3n y la edici\u00f3n enga\u00f1osa de v\u00eddeos de celebridades compartidos en <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.cameo.com\/\" target=\"_blank\">Camafeo<\/a> difundir contenidos de v\u00eddeo anti-Ucrania y difamar al presidente Volodymyr Zelensky mediante <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/ria.ru\/20230817\/zelenskiy-1890522044.html\" target=\"_blank\">afirmando falsamente<\/a> sufr\u00eda problemas de abuso de sustancias, lo que subraya los esfuerzos continuos para distorsionar las percepciones globales de la guerra.<\/p>\n<p>&#8220;Esta campa\u00f1a marca un enfoque novedoso por parte de actores pro-Rusia que buscan promover la narrativa en el espacio de la informaci\u00f3n en l\u00ednea&#8221;, dijo Microsoft.  &#8220;Los operadores cibern\u00e9ticos y de influencia rusos han demostrado adaptabilidad durante toda la guerra contra Ucrania&#8221;.<\/p>\n<h3>Actualizar<\/h3>\n<p>Tras la publicaci\u00f3n de la historia, Yaroslav Russkih, jefe de seguridad de JetBrains, comparti\u00f3 la siguiente declaraci\u00f3n con The Hacker News:<\/p>\n<p><em>&#8220;Se nos inform\u00f3 sobre esta vulnerabilidad a principios de este a\u00f1o y la solucionamos de inmediato en la actualizaci\u00f3n TeamCity 2023.05.4, que se lanz\u00f3 el 18 de septiembre de 2023. Desde entonces, nos hemos puesto en contacto con nuestros clientes directamente o mediante publicaciones p\u00fablicas motiv\u00e1ndolos a actualizar su software. . Tambi\u00e9n lanzamos un parche de seguridad dedicado para organizaciones que utilizan versiones anteriores de TeamCity que no pudieron actualizar a tiempo. Adem\u00e1s, hemos estado compartiendo las mejores pr\u00e1cticas de seguridad para ayudar a nuestros clientes a fortalecer la seguridad de sus canales de compilaci\u00f3n. Ahora, seg\u00fan las estad\u00edsticas que tenemos, menos del 2% de las instancias de TeamCity todav\u00eda funcionan con software sin parches y esperamos que sus propietarios las parcheen de inmediato. Esta vulnerabilidad solo afecta las instancias locales de TeamCity, mientras que nuestra versi\u00f3n en la nube no se vio afectada. &#8220;<\/em><\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/12\/russian-svr-linked-apt29-targets.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los actores de amenazas afiliados al Servicio de Inteligencia Exterior de Rusia (SVR) se han dirigido a servidores<\/p>\n","protected":false},"author":1,"featured_media":1092412,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,123623,2490,2346,4661,4664,26541,4662,207194,4668,201033,4654,201031,4659,4653,4655,865,4666,4665,7982,201032,221032,207195,12460,4660],"class_list":["post-1092411","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apt29","tag-apunta","tag-ataques","tag-ataques-ciberneticos","tag-como-hackear","tag-continuos","tag-filtracion-de-datos","tag-jetbrains","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-ruso","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-servidores","tag-software-malicioso-ransomware","tag-svr","tag-teamcity","tag-vinculado","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1092411","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1092411"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1092411\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1092412"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1092411"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1092411"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1092411"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}