{"id":1413509,"date":"2024-10-26T05:05:33","date_gmt":"2024-10-26T05:05:33","guid":{"rendered":"https:\/\/teknomers.com\/es\/cert-ua-identifica-archivos-rdp-maliciosos-en-el-ultimo-ataque-a-entidades-ucranianas\/"},"modified":"2024-10-26T05:05:38","modified_gmt":"2024-10-26T05:05:38","slug":"cert-ua-identifica-archivos-rdp-maliciosos-en-el-ultimo-ataque-a-entidades-ucranianas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/cert-ua-identifica-archivos-rdp-maliciosos-en-el-ultimo-ataque-a-entidades-ucranianas\/","title":{"rendered":"CERT-UA identifica archivos RDP maliciosos en el \u00faltimo ataque a entidades ucranianas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">26 de octubre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Ataque cibern\u00e9tico\/Inteligencia sobre amenazas<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/CERT-UA-identifica-archivos-RDP-maliciosos-en-el-ultimo-ataque-a.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>El Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) ha detallado una nueva campa\u00f1a de correo electr\u00f3nico malicioso dirigida a agencias gubernamentales, empresas y entidades militares.<\/p>\n<p>&#8220;Los mensajes explotan el atractivo de integrar servicios populares como Amazon o Microsoft e implementar una arquitectura de confianza cero&#8221;, CERT-UA <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/6281076\" target=\"_blank\">dicho<\/a>. &#8220;Estos correos electr\u00f3nicos contienen archivos adjuntos en forma de archivos de configuraci\u00f3n del Protocolo de escritorio remoto (&#8216;.rdp&#8217;).<\/p>\n<p>Una vez ejecutados, los archivos RDP establecen una conexi\u00f3n con un servidor remoto, lo que permite a los actores de amenazas obtener acceso remoto a los hosts comprometidos, robar datos y plantar malware adicional para ataques posteriores.<\/p>\n<p>Se cree que la preparaci\u00f3n de la infraestructura para la actividad ha estado en marcha desde al menos agosto de 2024, y la agencia afirm\u00f3 que es probable que salga de Ucrania y se dirija a otros pa\u00edses.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/saas-security-2024-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727895757_55_Aplicaciones-comerciales-falsas-se-dirigen-a-victimas-en-todo-el.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>CERT-UA ha atribuido la campa\u00f1a a un actor de amenazas al que rastrea como UAC-0215. Amazon Web Service (AWS), en su propio aviso, lo vincul\u00f3 con el grupo de pirater\u00eda del estado-naci\u00f3n ruso conocido como APT29.<\/p>\n<p>&#8220;Algunos de los nombres de dominio que utilizaron intentaron enga\u00f1ar a los objetivos haci\u00e9ndoles creer que los dominios eran dominios de AWS (no lo eran), pero Amazon no era el objetivo, ni el grupo que buscaba las credenciales de los clientes de AWS&#8221;, dijo CJ Moses, jefe de informaci\u00f3n de Amazon. oficial de seguridad, <a rel=\"nofollow noopener\" href=\"https:\/\/aws.amazon.com\/blogs\/security\/amazon-identified-internet-domains-abused-by-apt29\/\" target=\"_blank\">dicho<\/a>. &#8220;M\u00e1s bien, APT29 busc\u00f3 las credenciales de Windows de sus objetivos a trav\u00e9s de Microsoft Remote Desktop&#8221;.<\/p>\n<p>El gigante tecnol\u00f3gico dijo que tambi\u00e9n se apoder\u00f3 de los dominios que el adversario estaba usando para hacerse pasar por AWS con el fin de neutralizar la operaci\u00f3n. Algunos de los dominios utilizados por APT29 se enumeran a continuaci\u00f3n:<\/p>\n<ul>\n<li>ca-west-1.mfa-gov[.]nube<\/li>\n<li>central-2-aws.ua-aws[.]ej\u00e9rcito<\/li>\n<li>nosotros-este-2-aws.ua-gov[.]nube<\/li>\n<li>aws-ucrania.cloud<\/li>\n<li>aws-data.nube<\/li>\n<li>aws-s3.nube<\/li>\n<li>aws-il.nube<\/li>\n<li>aws-join.nube<\/li>\n<li>aws-meet.nube<\/li>\n<li>aws-meetings.nube<\/li>\n<li>aws-online.nube<\/li>\n<li>aws-secure.nube<\/li>\n<li>s3-aws[.]nube<\/li>\n<li>s3-fbi[.]nube<\/li>\n<li>s3-nsa[.]nube, y<\/li>\n<li>punto de prueba s3[.]nube<\/li>\n<\/ul>\n<p>El desarrollo se produce cuando CERT-UA tambi\u00e9n advirti\u00f3 sobre un ciberataque a gran escala destinado a robar informaci\u00f3n confidencial de usuarios ucranianos. La amenaza ha sido catalogada bajo el nombre de UAC-0218.<\/p>\n<p>El punto de partida del ataque es un correo electr\u00f3nico de phishing que contiene un enlace a un archivo RAR con trampa explosiva que pretende ser facturas o detalles de pago.<\/p>\n<p>Dentro del archivo hay un malware basado en Visual Basic Script denominado HOMESTEEL que est\u00e1 dise\u00f1ado para filtrar archivos que coinciden con ciertas extensiones (&#8220;xls&#8221;, &#8220;xlsx&#8221;, &#8220;doc&#8221;, &#8220;docx&#8221;, &#8220;pdf&#8221;, &#8220;txt&#8221;, &#8220;csv, &#8221; &#8220;rtf&#8221;, &#8220;ods&#8221;, &#8220;odt&#8221;, &#8220;eml&#8221;, &#8220;pst&#8221;, &#8220;rar&#8221; y &#8220;zip&#8221;) a un servidor controlado por un atacante.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/huntress-storytime-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727886513_963_CeranaKeeper-vinculada-a-China-apunta-al-sudeste-asiatico-con-filtracion.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;De esta manera, los delincuentes pueden obtener acceso a datos personales, financieros y otros datos sensibles y utilizarlos para chantajear o robar&#8221;, CERT-UA <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/6281095\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>Adem\u00e1s, CERT-UA tiene <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/6281123\" target=\"_blank\">alertado<\/a> de una campa\u00f1a estilo ClickFix que est\u00e1 dise\u00f1ada para enga\u00f1ar a los usuarios con enlaces maliciosos incrustados en mensajes de correo electr\u00f3nico para colocar un script de PowerShell que es capaz de establecer un t\u00fanel SSH, robar datos de los navegadores web y descargar e iniciar el marco de prueba de penetraci\u00f3n Metasploit.<\/p>\n<p>Los usuarios que hacen clic en el enlace son dirigidos a una p\u00e1gina de verificaci\u00f3n reCAPTCHA falsa que les solicita que verifiquen su identidad haciendo clic en un bot\u00f3n. Esta acci\u00f3n copia el script malicioso de PowerShell (&#8220;Browser.ps1&#8221;) al portapapeles del usuario y muestra una ventana emergente con instrucciones para ejecutarlo usando el cuadro de di\u00e1logo Ejecutar en Windows.<\/p>\n<p>CERT-UA dijo que tiene un &#8220;nivel promedio de confianza&#8221; en que la campa\u00f1a es obra de otro actor ruso de amenazas persistentes avanzadas conocido como APT28 (tambi\u00e9n conocido como UAC-0001).<\/p>\n<p>Las ciberofensivas contra Ucrania se producen en medio de una <a rel=\"nofollow noopener\" href=\"https:\/\/www.bloomberg.com\/news\/articles\/2024-10-21\/how-russia-s-spies-hacked-the-entire-nation-of-georgia\" target=\"_blank\">informe<\/a> de Bloomberg que detalla c\u00f3mo la agencia de inteligencia militar de Rusia y el Servicio Federal de Seguridad (FSB) atacaron sistem\u00e1ticamente la infraestructura y el gobierno de Georgia como parte de una serie de intrusiones digitales entre 2017 y 2020. Algunos de los ataques se han atribuido a Turla.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/10\/cert-ua-identifies-malicious-rdp-files.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80226 de octubre de 2024\ue804Ravie LakshmananAtaque cibern\u00e9tico\/Inteligencia sobre amenazas El Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania<\/p>\n","protected":false},"author":1,"featured_media":1413510,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,1497,1247,4661,145129,4664,32556,21026,201033,34681,4654,201031,4659,4653,4655,93870,246983,255454,246984,201032,4323,1327,246982,4660],"class_list":["post-1413509","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-archivos","tag-ataque","tag-ataques-ciberneticos","tag-certua","tag-como-hackear","tag-entidades","tag-identifica","tag-las-noticias-de-los-piratas-informaticos","tag-maliciosos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-rdp","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-ucranianas","tag-ultimo","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1413509","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1413509"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1413509\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1413510"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1413509"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1413509"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1413509"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}