Se ha observado a un actor de amenazas patrocinado por el estado ruso apuntando a entidades diplom\u00e1ticas y gubernamentales como parte de una serie de campa\u00f1as de phishing que comenzaron el 17 de enero de 2022.<\/p>\n
La firma de inteligencia de amenazas y respuesta a incidentes Mandiant atribuy\u00f3 los ataques a un grupo de pirater\u00eda rastreado como APT29 (tambi\u00e9n conocido como Cozy Bear), con un conjunto de actividades asociadas con la tripulaci\u00f3n a las que se les asign\u00f3 el apodo Nobelium (tambi\u00e9n conocido como UNC2452\/2652).<\/p>\n
“Esta \u00faltima ola de phishing selectivo muestra los intereses duraderos de APT29 en obtener informaci\u00f3n diplom\u00e1tica y de pol\u00edtica exterior de los gobiernos de todo el mundo”, Mandiant dicho<\/a> en un informe publicado la semana pasada.<\/p>\n Se dice que el acceso inicial fue asistido a trav\u00e9s de correos electr\u00f3nicos de phishing dirigidos disfrazados de avisos administrativos, utilizando direcciones de correo electr\u00f3nico leg\u00edtimas pero comprometidas de otras entidades diplom\u00e1ticas.<\/p>\n Estos correos electr\u00f3nicos contienen un archivo adjunto de gotero HTML llamado ROOTSAW (tambi\u00e9n conocido como EnvyScout) que, cuando se abre, desencadena una secuencia de infecci\u00f3n que entrega y ejecuta un descargador denominado BEATDROP en un sistema de destino.<\/p>\n Escrito en C, BEATDROP est\u00e1 dise\u00f1ado para recuperar malware de pr\u00f3xima etapa desde un servidor remoto de comando y control (C2). Lo logra abusando del servicio Trello de Atlassian para almacenar informaci\u00f3n de la v\u00edctima y obtener cargas \u00fatiles de shellcode cifradas con AES para ejecutarlas.<\/p>\n APT29 tambi\u00e9n emplea una herramienta llamada BOOMMIC (tambi\u00e9n conocida como VaporRage) para establecer un punto de apoyo dentro del entorno, seguido de una escalada de sus privilegios dentro de la red comprometida para el movimiento lateral y el reconocimiento extenso de los hosts.<\/p>\n Adem\u00e1s, un cambio operativo posterior observado en febrero de 2022 vio al actor de amenazas alejarse de BEATDROP a favor de un cargador basado en C ++ denominado BEACON, lo que podr\u00eda reflejar la capacidad del grupo para alterar peri\u00f3dicamente sus TTP para permanecer oculto.<\/p>\n BEACON, programado en C o C++, es parte del marco Cobalt Strike que facilita la ejecuci\u00f3n de comandos arbitrarios, la transferencia de archivos y otras funciones de puerta trasera, como la captura de capturas de pantalla y el registro de teclas.<\/p>\n El desarrollo sigue la l\u00ednea de la empresa de ciberseguridad. decisi\u00f3n<\/a> para fusionar el cl\u00faster no categorizado UNC2452 en APT29, al tiempo que se observa la propensi\u00f3n del grupo altamente sofisticado a evolucionar y refinar su oficio t\u00e9cnico para ofuscar la actividad y limitar su huella digital para evitar la detecci\u00f3n.<\/p>\n![\"piratas](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/1651509397_262_Hackers-rusos-apuntando-a-entidades-diplomaticas-en-Europa-America-y.jpg\" "\\"piratas")
<\/div>\n![\"piratas](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/1651509397_500_Hackers-rusos-apuntando-a-entidades-diplomaticas-en-Europa-America-y.jpg\" "\\"piratas")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n