{"id":1299633,"date":"2024-08-01T00:53:14","date_gmt":"2024-08-01T00:53:14","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-grupo-de-ciberespionaje-xdspy-ataca-a-empresas-de-rusia-y-moldavia\/"},"modified":"2024-08-01T00:53:18","modified_gmt":"2024-08-01T00:53:18","slug":"el-grupo-de-ciberespionaje-xdspy-ataca-a-empresas-de-rusia-y-moldavia","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-grupo-de-ciberespionaje-xdspy-ataca-a-empresas-de-rusia-y-moldavia\/","title":{"rendered":"El grupo de ciberespionaje XDSpy ataca a empresas de Rusia y Moldavia"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>31 de julio de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Espionaje cibern\u00e9tico \/ Inteligencia sobre amenazas<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Las empresas de Rusia y Moldavia han sido el objetivo de una campa\u00f1a de phishing orquestada por un grupo de espionaje cibern\u00e9tico poco conocido conocido como XDSpy<\/strong>.<\/p>\n

El recomendaciones<\/a> Los ataques provienen de la firma de ciberseguridad FACCT, que dijo que las cadenas de infecci\u00f3n conducen a la implementaci\u00f3n de un malware llamado DSDownloader. La actividad se observ\u00f3 este mes, agreg\u00f3.<\/p>\n

XDSpy<\/a> es un actor de amenaza de origen indeterminado que fue primero<\/a> descubierto<\/a> por el Equipo de Respuesta a Emergencias Inform\u00e1ticas de Bielorrusia, CERT.BY, en febrero de 2020. Un an\u00e1lisis posterior realizado por ESET atribuido<\/a> El grupo a ataques de robo de informaci\u00f3n<\/a> Dirigido a agencias gubernamentales de Europa del Este y los Balcanes desde 2011.<\/p>\n

Se sabe que las cadenas de ataque montadas por el adversario aprovechan correos electr\u00f3nicos de phishing para infiltrar sus objetivos con un m\u00f3dulo de malware principal conocido como XDDown que, a su vez, coloca complementos adicionales para recopilar informaci\u00f3n del sistema, enumerar la unidad C:, monitorear unidades externas, exfiltrar archivos locales y recopilar contrase\u00f1as.<\/p>\n

\"La<\/a><\/center><\/section>\n

Durante el \u00faltimo a\u00f1o, XDSpy ha estado observado<\/a> Apuntando<\/a> Organizaciones rusas con un cuentagotas basado en C# llamado UTask que es responsable de descargar un m\u00f3dulo central en forma de ejecutable que puede obtener m\u00e1s cargas \u00fatiles de un servidor de comando y control (C2).<\/p>\n

El \u00faltimo conjunto de ataques implica el uso de correos electr\u00f3nicos de phishing con se\u00f1uelos relacionados con acuerdos para propagar un archivo RAR que contiene un ejecutable leg\u00edtimo y un archivo DLL malicioso. El DLL se ejecuta luego mediante el primero utilizando t\u00e9cnicas de carga lateral de DLL.<\/p>\n

En la siguiente fase, la biblioteca se encarga de obtener y ejecutar DSDownloader, que, a su vez, abre un archivo se\u00f1uelo como distracci\u00f3n mientras descarga subrepticiamente el malware de la siguiente etapa desde un servidor remoto. FACCT afirm\u00f3 que la carga \u00fatil ya no estaba disponible para su descarga en el momento del an\u00e1lisis.<\/p>\n

El inicio de la guerra ruso-ucraniana en febrero de 2022 ha sido testigo de una importante escalada de ciberataques por parte de ambos bandos, con empresas rusas comprometida<\/a> por DarkWatchman RAT as\u00ed como por grupos de actividades rastreados como Hombre lobo b\u00e1sico<\/a>Perros del infierno, N\u00facleo fantasma<\/a>, Lobo raro<\/a>, Bits de Reaver<\/a>y Sticky Werewolf, entre otros en los \u00faltimos meses.<\/p>\n

Es m\u00e1s, pro-ucraniano grupos hacktivistas<\/a> Como Cyber.Anarchy.Squad tambi\u00e9n han puesto sus miras en entidades rusas, llevando a cabo operaciones de pirater\u00eda y filtraci\u00f3n y ataques disruptivos contra ellas. Infotel<\/a> y Avanpost<\/a>.<\/p>\n

El desarrollo se produce cuando el Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) prevenido<\/a> de un aumento en los ataques de phishing llevados a cabo por un actor de amenazas bielorruso llamado UAC-0057 (tambi\u00e9n conocido como GhostWriter y UNC1151) que distribuye una familia de malware conocida como PicassoLoader con el objetivo de colocar un Cobalt Strike Beacon en los hosts infectados.<\/p>\n

Tambi\u00e9n sigue el descubrimiento de una nueva campa\u00f1a del grupo Turla, vinculado a Rusia, que utiliza un archivo de acceso directo de Windows (LNK) malicioso como conducto para servir a una puerta trasera sin archivos que puede ejecutar scripts de PowerShell recibidos de un servidor leg\u00edtimo pero comprometido y deshabilitar funciones de seguridad.<\/p>\n

“Tambi\u00e9n emplea parches de memoria, omite AMSI y desactiva las funciones de registro de eventos del sistema para perjudicar la defensa del sistema y mejorar su capacidad de evasi\u00f3n”, dijeron los investigadores de G DATA. dicho<\/a>“Aprovecha msbuild.exe de Microsoft para implementar la omisi\u00f3n de AWL (lista blanca de aplicaciones) para evitar la detecci\u00f3n”.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n