{"id":1230980,"date":"2024-06-10T10:47:05","date_gmt":"2024-06-10T10:47:05","guid":{"rendered":"https:\/\/teknomers.com\/es\/sticky-werewolf-amplia-los-objetivos-de-los-ciberataques-en-rusia-y-bielorrusia\/"},"modified":"2024-06-10T10:47:10","modified_gmt":"2024-06-10T10:47:10","slug":"sticky-werewolf-amplia-los-objetivos-de-los-ciberataques-en-rusia-y-bielorrusia","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/sticky-werewolf-amplia-los-objetivos-de-los-ciberataques-en-rusia-y-bielorrusia\/","title":{"rendered":"Sticky Werewolf ampl\u00eda los objetivos de los ciberataques en Rusia y Bielorrusia"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>10 de junio de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Ciberespionaje\/malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Investigadores de ciberseguridad han revelado detalles de un actor de amenazas conocido como Sticky Werewolf que ha sido vinculado a ciberataques dirigidos a entidades en Rusia y Bielorrusia.<\/p>\n

Los ataques de phishing estaban dirigidos a una empresa farmac\u00e9utica, a un instituto de investigaci\u00f3n ruso que se ocupa de microbiolog\u00eda y desarrollo de vacunas, y al sector de la aviaci\u00f3n, expandi\u00e9ndose m\u00e1s all\u00e1 de su enfoque inicial de organizaciones gubernamentales, Morphisec. dicho<\/a> en un informe la semana pasada.<\/p>\n

“En campa\u00f1as anteriores, la cadena de infecci\u00f3n comenzaba con correos electr\u00f3nicos de phishing que conten\u00edan un enlace para descargar un archivo malicioso desde plataformas como gofile.io”, dijo el investigador de seguridad Arnold Osipov. “Esta \u00faltima campa\u00f1a utiliz\u00f3 archivos que conten\u00edan archivos LNK que apuntaban a una carga \u00fatil almacenada en servidores WebDAV”.<\/p>\n

\"La<\/a><\/center><\/div>\n

Sticky Werewolf, uno de los muchos actores de amenazas que apuntan a Rusia y Bielorrusia, como hombre lobo nube<\/a> (tambi\u00e9n conocido como Inception y Cloud Atlas), Lobo de cuarzo<\/a>, Lobo rojo<\/a> (tambi\u00e9n conocido como RedCurl), y lobo escamoso<\/a>era documentado por primera vez<\/a> por BI.ZONE en octubre de 2023. Se cree que el grupo est\u00e1 activo desde al menos abril de 2023.<\/p>\n

Ataques anteriores documentados por la empresa de ciberseguridad aprovecharon correos electr\u00f3nicos de phishing con enlaces a cargas \u00fatiles maliciosas que culminaron con la implementaci\u00f3n del troyano de acceso remoto (RAT) NetWire, cuya infraestructura fue desactivada a principios del a\u00f1o pasado luego de una operaci\u00f3n policial.<\/p>\n

La nueva cadena de ataque observada por Morphisec implica el uso de un archivo adjunto RAR que, cuando se extrae, contiene dos archivos LNK y un documento PDF se\u00f1uelo, este \u00faltimo afirma ser una invitaci\u00f3n a una videoconferencia e insta a los destinatarios a hacer clic en el Archivos LNK para obtener la agenda de la reuni\u00f3n y la lista de distribuci\u00f3n de correo electr\u00f3nico.<\/p>\n

Al abrir cualquiera de los archivos LNK se activa la ejecuci\u00f3n de un binario alojado en un servidor WebDAV, lo que conduce al inicio de un script por lotes de Windows ofuscado. El script, a su vez, est\u00e1 dise\u00f1ado para ejecutar un script AutoIt que finalmente inyecta la carga \u00fatil final, evitando al mismo tiempo el software de seguridad y los intentos de an\u00e1lisis.<\/p>\n

“Este ejecutable es un archivo autoextra\u00edble de NSIS que forma parte de un cifrado previamente conocido llamado CypherIT<\/a>“, dijo Osipov. “Si bien el cifrado CypherIT original ya no se vende, el ejecutable actual es una variante del mismo, como se observ\u00f3 en un par de foros de pirater\u00eda”. <\/p>\n

El objetivo final de la campa\u00f1a es ofrecer RAT b\u00e1sicos y malware ladr\u00f3n de informaci\u00f3n como Rhadamanthys y Ozone RAT.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Si bien no hay evidencia definitiva que apunte a un origen nacional espec\u00edfico para el grupo Sticky Werewolf, el contexto geopol\u00edtico sugiere posibles v\u00ednculos con un grupo de ciberespionaje proucraniano o hacktivistas, pero esta atribuci\u00f3n sigue siendo incierta”, dijo Osipov.<\/p>\n

El desarrollo se produce cuando BI.ZONE revel\u00f3 un grupo de actividades con nombre en c\u00f3digo Hombre lobo zafiro<\/a> esto se ha atribuido a m\u00e1s de 300 ataques contra los sectores rusos de educaci\u00f3n, manufactura, TI, defensa e ingenier\u00eda aeroespacial utilizando Amethyst, una rama del popular SapphireStealer de c\u00f3digo abierto.<\/p>\n

La empresa rusa, en marzo de 2024, tambi\u00e9n descubri\u00f3 clusters denominados lobo esponjoso<\/a> y Hombre lobo misterioso<\/a> que han utilizado se\u00f1uelos de phishing para distribuir Remote Utilities, XMRig miner, WarZone RAT y una puerta trasera personalizada denominada RingSpy.<\/p>\n

“La puerta trasera RingSpy permite a un adversario ejecutar comandos de forma remota, obtener sus resultados y descargar archivos de recursos de red”, se\u00f1al\u00f3. “La puerta trasera [command-and-control] El servidor es un bot de Telegram.”<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n