El actor de amenazas conocido como Atlas de nubes<\/strong> se ha relacionado con una serie de ataques de phishing dirigidos a empresas rusas.<\/p>\n Los objetivos inclu\u00edan una empresa agroindustrial rusa y una empresa de investigaci\u00f3n de propiedad estatal, seg\u00fan un informe<\/a> de FACCT, una empresa independiente de ciberseguridad formada despu\u00e9s de la salida formal de Group-IB de Rusia a principios de este a\u00f1o.<\/p>\n Cloud Atlas, activo desde al menos 2014, es un grupo de ciberespionaje de origen desconocido. Tambi\u00e9n llamado Clean Ursa, Inception, Oxygen y Red October, el actor de amenazas es conocido por sus persistentes campa\u00f1as dirigidas a Rusia, Bielorrusia, Azerbaiy\u00e1n, Turqu\u00eda y Eslovenia.<\/p>\n En diciembre de 2022, Check Point y Positive Technologies detallaron secuencias de ataques de varias etapas que llevaron a la implementaci\u00f3n de una puerta trasera basada en PowerShell denominada PowerShower, as\u00ed como cargas \u00fatiles DLL capaces de comunicarse con un servidor controlado por un actor.<\/p>\n De USUARIO a ADMIN: aprenda c\u00f3mo los piratas inform\u00e1ticos obtienen el control total<\/p>\n <\/a> <\/p>\n Descubra las t\u00e1cticas secretas que utilizan los piratas inform\u00e1ticos para convertirse en administradores, c\u00f3mo detectarlos y bloquearlos antes de que sea demasiado tarde. Reg\u00edstrese hoy para nuestro seminario web.<\/p>\n \u00danete ahora<\/a> <\/section>\n El punto de partida es un mensaje de phishing que contiene un documento se\u00f1uelo que explota CVE-2017-11882, una falla de corrupci\u00f3n de memoria de hace seis a\u00f1os en el Editor de ecuaciones de Microsoft Office, para iniciar la ejecuci\u00f3n de cargas \u00fatiles maliciosas, una t\u00e9cnica que ha empleado Cloud Atlas. tan pronto como octubre 2018<\/a>.<\/p>\n “Las campa\u00f1as masivas de phishing del actor contin\u00faan utilizando sus m\u00e9todos simples pero efectivos para comprometer sus objetivos”, Kaspersky anotado<\/a> en agosto de 2019. “A diferencia de muchos otros conjuntos de intrusiones, Cloud Atlas no ha optado por utilizar implantes de c\u00f3digo abierto durante sus campa\u00f1as recientes, para ser menos discriminatorio”.<\/p>\n FACCT describi\u00f3 la \u00faltima cadena de eliminaci\u00f3n como similar a la descrita por Positive Technologies, con una explotaci\u00f3n exitosa de CVE-2017-11882 mediante inyecci\u00f3n de plantilla RTF que allana el camino para el c\u00f3digo shell que es responsable de descargar y ejecutar un archivo HTA ofuscado. Los correos provienen de los populares servicios de correo electr\u00f3nico rusos Yandex Mail y VK’s Mail.ru.<\/p>\n Posteriormente, la aplicaci\u00f3n HTML maliciosa inicia archivos Visual Basic Script (VBS) que son, en \u00faltima instancia, responsables de recuperar y ejecutar un c\u00f3digo VBS desconocido desde un servidor remoto.<\/p>\n “El grupo Cloud Atlas ha estado activo durante muchos a\u00f1os, pensando cuidadosamente en cada aspecto de sus ataques”, Positive Technologies dicho<\/a> del grupo el a\u00f1o pasado.<\/p>\n “El conjunto de herramientas del grupo no ha cambiado durante a\u00f1os: intentan ocultar su malware a los investigadores mediante solicitudes de carga \u00fanicas y valid\u00e1ndolas. El grupo evita las herramientas de detecci\u00f3n de ataques a redes y archivos mediante el uso de almacenamiento leg\u00edtimo en la nube y funciones de software bien documentadas. en particular en Microsoft Office.”<\/p>\n El desarrollo se produce cuando la compa\u00f1\u00eda dijo que al menos 20 organizaciones ubicadas en Rusia se han visto comprometidas utilizando Decoy Dog, una versi\u00f3n modificada de Pupy RAT, atribuy\u00e9ndolo a un actor de amenaza persistente avanzado al que llama Hellhounds.<\/p>\n El malware mantenido activamente, adem\u00e1s de permitir al adversario controlar remotamente el host infectado, viene con un scriptlet dise\u00f1ado para transmitir datos de telemetr\u00eda a una cuenta “automatizada” en Mastodon con el nombre “Lamir Hasabat” (@lahat<\/a>) en la instancia Mindly.Social.<\/p>\n “Despu\u00e9s de que se publicaron los materiales sobre la primera versi\u00f3n de Decoy Dog, los autores del malware hicieron grandes esfuerzos para dificultar su detecci\u00f3n y an\u00e1lisis tanto en el tr\u00e1fico como en el sistema de archivos”, afirman los investigadores de seguridad Stanislav Pyzhov y Aleksandr Grigorian. dicho<\/a>.<\/p>\n <\/p>\n![\"Ataques](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/Los-ataques-de-phishing-de-Cloud-Atlas-se-dirigen-a.jpg\" "\\"Ataques")
<\/a><\/div>\n<\/a><\/center><\/div>\n