Los actores patrocinados por el estado ruso han organizado ataques de retransmisi\u00f3n de hash de NT LAN Manager (NTLM) v2 a trav\u00e9s de varios m\u00e9todos desde abril de 2022 hasta noviembre de 2023, dirigidos a objetivos de alto valor en todo el mundo.<\/p>\n
Los ataques, atribuidos a un grupo de hackers “agresivos” llamado APT28<\/strong>han puesto sus ojos en organizaciones que se ocupan de asuntos exteriores, energ\u00eda, defensa y transporte, as\u00ed como en aquellas relacionadas con el trabajo, el bienestar social, las finanzas, la paternidad y los ayuntamientos locales.<\/p>\n La empresa de ciberseguridad Trend Micro juzgado<\/a> estas intrusiones como un “m\u00e9todo rentable para automatizar los intentos de ingresar por la fuerza bruta en las redes” de sus objetivos, se\u00f1alando que el adversario puede haber comprometido miles de cuentas de correo electr\u00f3nico a lo largo del tiempo.<\/p>\n APT28 tambi\u00e9n es rastreado por la comunidad de ciberseguridad en general bajo los nombres Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy y TA422.<\/p>\n El grupo, que se cree que est\u00e1 activo desde al menos 2009, es operado por el servicio de inteligencia militar GRU de Rusia y tiene un historial de orquestar phishing dirigido que contiene archivos adjuntos maliciosos o compromisos web estrat\u00e9gicos para activar las cadenas de infecci\u00f3n.<\/p>\n En abril de 2023, APT28 estuvo implicado en ataques que aprovecharon fallas ahora reparadas en equipos de red de Cisco para realizar reconocimientos e implementar malware contra objetivos seleccionados.<\/p>\n El actor del estado-naci\u00f3n, en diciembre, fue el centro de atenci\u00f3n por explotar una falla de escalada de privilegios en Microsoft Outlook (CVE-2023-23397, puntuaci\u00f3n CVSS: 9,8) y WinRAR (CVE-2023-38831, puntuaci\u00f3n CVSS: 7,8) para acceder el hash Net-NTLMv2 de un usuario y utilizarlo para organizar un ataque de retransmisi\u00f3n NTLM contra otro servicio para autenticarse como usuario.<\/p>\n Se dice que un exploit para CVE-2023-23397 se utiliz\u00f3 para atacar a entidades ucranianas ya en abril de 2022, seg\u00fan un Aviso de marzo de 2023<\/a> del CERT-UE.<\/p>\n Tambi\u00e9n se ha observado que aprovecha se\u00f1uelos relacionados con la actual guerra entre Israel y Hamas para facilitar la entrega de una puerta trasera personalizada llamada HeadLace, junto con entidades gubernamentales ucranianas y organizaciones polacas que atacan con mensajes de phishing dise\u00f1ados para desplegar puertas traseras y ladrones de informaci\u00f3n como OCEANMAP, MASEPIE y GANCHO DE ACERO.<\/p>\n Uno de los aspectos importantes de los ataques del actor de amenazas es el intento continuo de mejorar su manual operativo, afinando y modificando sus enfoques para evadir la detecci\u00f3n.<\/p>\n Esto incluye la adici\u00f3n de capas de anonimizaci\u00f3n como servicios VPN, Tor, direcciones IP del centro de datos y enrutadores EdgeOS comprometidos para realizar actividades de escaneo y sondeo. Otra t\u00e1ctica consiste en enviar mensajes de phishing desde cuentas de correo electr\u00f3nico comprometidas a trav\u00e9s de Tor o VPN.<\/p>\n “Pawn Storm tambi\u00e9n ha estado utilizando enrutadores EdgeOS para enviar correos electr\u00f3nicos de phishing, realizar devoluciones de llamadas de exploits CVE-2023-23397 en Outlook y robo de credenciales de proxy en sitios web de phishing”, dijeron los investigadores de seguridad Feike Hacquebord y Fernando Merces.<\/p>\n “Parte de las actividades posteriores a la explotaci\u00f3n del grupo implican la modificaci\u00f3n de los permisos de carpeta dentro del buz\u00f3n de la v\u00edctima, lo que lleva a una mayor persistencia”, dijeron los investigadores. “Al utilizar las cuentas de correo electr\u00f3nico de la v\u00edctima, es posible realizar movimientos laterales mediante el env\u00edo de mensajes de correo electr\u00f3nico maliciosos adicionales desde dentro de la organizaci\u00f3n de la v\u00edctima”.<\/p>\n Actualmente no se sabe si los propios actores de la amenaza violaron estos enrutadores o si est\u00e1n utilizando enrutadores que ya fueron comprometidos por un tercero. Dicho esto, se estima que no menos de 100 enrutadores EdgeOS han sido infectados.<\/p>\n Adem\u00e1s, las recientes campa\u00f1as de recolecci\u00f3n de credenciales contra gobiernos europeos han utilizado p\u00e1ginas de inicio de sesi\u00f3n falsas que imitan a Microsoft Outlook y que est\u00e1n alojadas en un webhook.[.]URL del sitio, un patr\u00f3n previamente atribuido al grupo.<\/p>\n Sin embargo, una campa\u00f1a de phishing de octubre de 2022 se\u00f1al\u00f3 a embajadas y otras entidades de alto perfil para entregar un ladr\u00f3n de informaci\u00f3n “simple” a trav\u00e9s de correos electr\u00f3nicos que capturaba archivos que coincid\u00edan con extensiones espec\u00edficas y los exfiltraba a un servicio gratuito para compartir archivos llamado Keep.sh.<\/p>\n “El volumen de las campa\u00f1as repetitivas, a menudo crudas y agresivas, ahoga el silencio, la sutileza y la complejidad de la intrusi\u00f3n inicial, as\u00ed como las acciones posteriores a la explotaci\u00f3n que podr\u00edan ocurrir una vez que Pawn Storm consiga un punto de apoyo inicial en las organizaciones v\u00edctimas”. dijeron los investigadores.<\/p>\n El desarrollo se produce como Recorded Future News. revel\u00f3<\/a> una campa\u00f1a de pirater\u00eda en curso llevada a cabo por el actor de amenazas ruso COLDRIVER (tambi\u00e9n conocido como Calisto, Iron Frontier o Star Blizzard) que se hace pasar por investigadores y acad\u00e9micos para redirigir a posibles v\u00edctimas a p\u00e1ginas de recolecci\u00f3n de credenciales.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/Hackers-rusos-APT28-apuntan-a-organizaciones-de-alto-valor-con.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n