{"id":1393375,"date":"2024-10-08T12:56:39","date_gmt":"2024-10-08T12:56:39","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-grupo-de-ciberataque-awaken-likho-apunta-al-gobierno-ruso-con-herramientas-avanzadas\/"},"modified":"2024-10-08T12:56:44","modified_gmt":"2024-10-08T12:56:44","slug":"el-grupo-de-ciberataque-awaken-likho-apunta-al-gobierno-ruso-con-herramientas-avanzadas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-grupo-de-ciberataque-awaken-likho-apunta-al-gobierno-ruso-con-herramientas-avanzadas\/","title":{"rendered":"El grupo de ciberataque ‘Awaken Likho’ apunta al gobierno ruso con herramientas avanzadas"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>08 de octubre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Amenaza cibern\u00e9tica\/ataque APT<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Las agencias gubernamentales rusas y las entidades industriales son el objetivo de un grupo de actividades en curso denominado Despertar a Likho<\/strong>.<\/p>\n

“Los atacantes ahora prefieren utilizar el agente de la plataforma leg\u00edtima MeshCentral en lugar del m\u00f3dulo UltraVNC, que anteriormente utilizaban para obtener acceso remoto a los sistemas”, Kaspersky dicho<\/a>detallando una nueva campa\u00f1a que comenz\u00f3 en junio de 2024 y continu\u00f3 al menos hasta agosto.<\/p>\n

La empresa rusa de ciberseguridad dijo que la campa\u00f1a estaba dirigida principalmente a agencias gubernamentales rusas, sus contratistas y empresas industriales.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Awaken Likho, tambi\u00e9n rastreado como Core Werewolf y PseudoGamaredon, fue documentado por primera vez<\/a> por BI.ZONE en junio de 2023 en relaci\u00f3n con ciberataques dirigidos contra sectores de defensa e infraestructura cr\u00edtica. Se cree que el grupo est\u00e1 activo desde al menos agosto de 2021.<\/p>\n

Los ataques de phishing implican la distribuci\u00f3n de ejecutables maliciosos disfrazados de documentos de Microsoft Word o PDF asign\u00e1ndoles extensiones dobles como “doc.exe”, “.docx.exe” o “.pdf.exe”, de modo que solo los archivos .docx y Las partes .pdf de la extensi\u00f3n se muestran a los usuarios.<\/p>\n

Sin embargo, se ha descubierto que abrir estos archivos desencadena la instalaci\u00f3n de UltraVNC, lo que permite a los actores de amenazas obtener un control total de los hosts comprometidos.<\/p>\n

Otros ataques organizados por Core Werewolf tambi\u00e9n han apuntado a una base militar rusa en Armenia, as\u00ed como a un instituto de investigaci\u00f3n ruso dedicado al desarrollo de armas, seg\u00fan recomendaciones<\/a> de FACCT a principios de mayo.<\/p>\n

Un cambio notable observado en estos casos se refiere al uso de un archivo autoextra\u00edble (SFX) para facilitar la instalaci\u00f3n encubierta de UltraVNC mientras se muestra un documento se\u00f1uelo inofensivo a los objetivos. <\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

La \u00faltima cadena de ataque descubierta por Kaspersky tambi\u00e9n se basa en un archivo SFX creado con 7-Zip que, cuando se abre, desencadena la ejecuci\u00f3n de un archivo llamado “MicrosoftStores.exe”, que luego descomprime un script AutoIt para finalmente ejecutar el c\u00f3digo abierto. Herramienta de gesti\u00f3n remota MeshAgent.<\/p>\n

“Estas acciones permiten que APT persista en el sistema: los atacantes crean una tarea programada que ejecuta un archivo de comando que, a su vez, inicia MeshAgent para establecer una conexi\u00f3n con el servidor MeshCentral”, dijo Kaspersky.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n