{"id":1268429,"date":"2024-07-08T18:31:19","date_gmt":"2024-07-08T18:31:19","guid":{"rendered":"https:\/\/teknomers.com\/es\/nuevo-grupo-apt-hechicero-de-las-nubes-ataques-a-entidades-del-gobierno-ruso\/"},"modified":"2024-07-08T18:31:24","modified_gmt":"2024-07-08T18:31:24","slug":"nuevo-grupo-apt-hechicero-de-las-nubes-ataques-a-entidades-del-gobierno-ruso","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nuevo-grupo-apt-hechicero-de-las-nubes-ataques-a-entidades-del-gobierno-ruso\/","title":{"rendered":"Nuevo grupo APT &quot;Hechicero de las nubes&quot; Ataques a entidades del gobierno ruso"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">8 de julio de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de prensa<\/span><\/span><span class=\"p-tags\">Ciberespionaje \/ Seguridad en la nube<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Nuevo-grupo-APT-quotHechicero-de-las-nubesquot-Ataques-a-entidades.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Un grupo de amenaza persistente avanzada (APT) no documentado previamente denominado <strong>Hechicero de las nubes<\/strong> Se ha observado que ataca a entidades gubernamentales rusas aprovechando los servicios en la nube para comando y control (C2) y exfiltraci\u00f3n de datos.<\/p>\n<p>La empresa de ciberseguridad Kaspersky, que descubri\u00f3 la actividad en mayo de 2024, se\u00f1al\u00f3 que la estrategia adoptada por el actor de amenazas guarda similitudes con la de CloudWizard, pero se\u00f1al\u00f3 las diferencias en el c\u00f3digo fuente del malware. Los ataques utilizan un innovador programa de recopilaci\u00f3n de datos y una serie de t\u00e1cticas de evasi\u00f3n para ocultar sus rastros.<\/p>\n<p>&#8220;Es una sofisticada herramienta de ciberespionaje utilizada para monitoreo oculto, recolecci\u00f3n de datos y exfiltraci\u00f3n a trav\u00e9s de la infraestructura en la nube de Microsoft Graph, Yandex Cloud y Dropbox&#8221;, dijo el proveedor de seguridad ruso. <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/cloudsorcerer-new-apt-cloud-actor\/113056\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/auditboard-it-risk-now\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/1718513814_760_Hacker-britanico-vinculado-al-notorio-grupo-de-aranas-dispersas-arrestado.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;El malware utiliza recursos de la nube como servidores de comando y control (C2), a los que accede a trav\u00e9s de API mediante tokens de autenticaci\u00f3n. Adem\u00e1s, CloudSorcerer utiliza GitHub como su servidor C2 inicial&#8221;.<\/p>\n<p>Actualmente se desconoce el m\u00e9todo exacto utilizado para infiltrarse en los objetivos, pero el acceso inicial se aprovecha para colocar un binario ejecutable portable basado en C que se utiliza como puerta trasera, iniciar comunicaciones C2 o inyectar shellcode en otros procesos leg\u00edtimos seg\u00fan el proceso en el que se ejecuta, es decir, mspaint.exe, msiexec.exe o que contiene la cadena &#8220;browser&#8221;.<\/p>\n<p>&#8220;La capacidad del malware de adaptar din\u00e1micamente su comportamiento en funci\u00f3n del proceso en el que se ejecuta, junto con su uso de una comunicaci\u00f3n compleja entre procesos a trav\u00e9s de canales de Windows, resalta a\u00fan m\u00e1s su sofisticaci\u00f3n&#8221;, se\u00f1al\u00f3 Kaspersky.<\/p>\n<p>El componente de puerta trasera est\u00e1 dise\u00f1ado para recopilar informaci\u00f3n sobre la m\u00e1quina v\u00edctima y recuperar instrucciones para enumerar archivos y carpetas, ejecutar comandos de shell, realizar operaciones de archivos y ejecutar cargas \u00fatiles adicionales.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/encrypted-drives-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Apple-elimina-aplicaciones-VPN-de-la-App-Store-rusa-ante.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>El m\u00f3dulo C2, por su parte, se conecta a una p\u00e1gina de GitHub que act\u00faa como un <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1102\/001\/\" target=\"_blank\">resolver de punto muerto<\/a> para obtener una cadena hexadecimal codificada que apunte al servidor real alojado en Microsoft Graph o Yandex Cloud.<\/p>\n<p>&#8220;Alternativamente, en lugar de conectarse a GitHub, CloudSorcerer tambi\u00e9n intenta obtener los mismos datos de hxxps:\/\/my.mail[.]&#8221;ru\/, que es un servidor ruso de alojamiento de fotograf\u00edas en la nube&#8221;, dijo Kaspersky. &#8220;El nombre del \u00e1lbum de fotograf\u00edas contiene la misma cadena hexadecimal&#8221;.<\/p>\n<p>&#8220;El malware CloudSorcerer representa un conjunto de herramientas sofisticadas que apuntan a las entidades gubernamentales rusas. Su uso de servicios en la nube como Microsoft Graph, Yandex Cloud y Dropbox para la infraestructura C2, junto con GitHub para las comunicaciones iniciales C2, demuestra un enfoque bien planificado para el espionaje cibern\u00e9tico&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/new-apt-group-cloudsorcerer-targets.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue8028 de julio de 2024\ue804Sala de prensaCiberespionaje \/ Seguridad en la nube Un grupo de amenaza persistente avanzada<\/p>\n","protected":false},"author":1,"featured_media":1268430,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,26597,2346,4661,4664,38,32556,4662,111,2386,4668,246,4667,239182,4654,239508,4658,4659,4653,80474,480,138427,865,4666,4665,239484],"class_list":["post-1268429","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apt","tag-ataques","tag-ataques-ciberneticos","tag-como-hackear","tag-del","tag-entidades","tag-filtracion-de-datos","tag-gobierno","tag-grupo","tag-la-seguridad-informatica","tag-las","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-nubesquot","tag-nuevo","tag-quothechicero","tag-ruso","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1268429","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1268429"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1268429\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1268430"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1268429"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1268429"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1268429"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}