{"id":1471484,"date":"2024-12-04T20:06:36","date_gmt":"2024-12-04T20:06:36","guid":{"rendered":"https:\/\/teknomers.com\/es\/turla-vinculada-a-rusia-explota-los-servidores-de-piratas-informaticos-paquistanies-para-atacar-a-entidades-afganas-e-indias\/"},"modified":"2024-12-04T20:06:41","modified_gmt":"2024-12-04T20:06:41","slug":"turla-vinculada-a-rusia-explota-los-servidores-de-piratas-informaticos-paquistanies-para-atacar-a-entidades-afganas-e-indias","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/turla-vinculada-a-rusia-explota-los-servidores-de-piratas-informaticos-paquistanies-para-atacar-a-entidades-afganas-e-indias\/","title":{"rendered":"Turla, vinculada a Rusia, explota los servidores de piratas inform\u00e1ticos paquistan\u00edes para atacar a entidades afganas e indias"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/Turla-vinculada-a-Rusia-explota-los-servidores-de-piratas-informaticos.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>El grupo de amenaza persistente avanzada (APT, por sus siglas en ingl\u00e9s) vinculado a Rusia, conocido como <strong>Turla<\/strong> se ha vinculado a una campa\u00f1a previamente indocumentada que implic\u00f3 infiltrarse en los servidores de comando y control (C2) de un grupo de pirater\u00eda con sede en Pakist\u00e1n llamado Storm-0156 para realizar sus propias operaciones desde 2022.<\/p>\n<p>La actividad, observada por primera vez en diciembre de 2022, es el \u00faltimo ejemplo en el que el adversario-estado-naci\u00f3n se &#8220;incorpora&#8221; en las operaciones maliciosas de otro grupo para promover sus propios objetivos y esfuerzos de atribuci\u00f3n de la nube, dijo Lumen Technologies Black Lotus Labs.<\/p>\n<p>&#8220;En diciembre de 2022, Secret Blizzard obtuvo inicialmente acceso a un servidor Storm-0156 C2 y, a mediados de 2023, hab\u00eda ampliado su control a varios C2 asociados con el actor Storm-0156&#8221;, dijo la compa\u00f1\u00eda. <a rel=\"noopener nofollow\" href=\"https:\/\/blog.lumen.com\/snowblind-the-invisible-hand-of-secret-blizzard\" target=\"_blank\">dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n<p>Al aprovechar su acceso a estos servidores, se ha descubierto que Turla aprovecha las intrusiones ya orquestadas por Storm-0156 para implementar familias de malware personalizadas denominadas <a rel=\"noopener nofollow\" href=\"https:\/\/www.microsoft.com\/en-us\/wdsi\/threats\/malware-encyclopedia-description?Name=TrojanDownloader:Win64\/TwoDash!dha\" target=\"_blank\">DosDash<\/a> y Estatuazy en un n\u00famero selecto de redes relacionadas con varias entidades del gobierno afgano. TwoDash es un descargador personalizado, mientras que Estatuazy es un troyano que monitorea y registra los datos guardados en el portapapeles de Windows.<\/p>\n<p>El equipo de Microsoft Threat Intelligence, que tambi\u00e9n public\u00f3 sus hallazgos sobre la campa\u00f1a, dijo que Turla ha utilizado la infraestructura vinculada a Storm-0156, que se superpone con grupos de actividad rastreados como SideCopy y Transparent Tribe.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zerotrust-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1732617974_421_CISA-insta-a-las-agencias-a-aplicar-parches-criticos-quotRedes.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;El tr\u00e1fico secreto de comando y control (C2) de Blizzard eman\u00f3 de la infraestructura de Storm-0156, incluida la infraestructura utilizada por Storm-0156 para recopilar datos exfiltrados de campa\u00f1as en Afganist\u00e1n e India&#8221;, Microsoft <a rel=\"noopener nofollow\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2024\/12\/04\/frequent-freeloader-part-i-secret-blizzard-compromising-storm-0156-infrastructure-for-espionage\/\" target=\"_blank\">dicho<\/a> en un informe coordinado compartido con la publicaci\u00f3n.<\/p>\n<p>Se considera que Turla, tambi\u00e9n conocida con los nombres Blue Python, Iron Hunter, Pensive Ursa, Secret Blizzard (anteriormente Krypton), Snake, SUMMIT, Uroburos, Venomous Bear y Waterbug, est\u00e1 afiliada al Servicio Federal de Seguridad de Rusia (FSB).<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/1733342794_994_Turla-vinculada-a-Rusia-explota-los-servidores-de-piratas-informaticos.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/1733342794_994_Turla-vinculada-a-Rusia-explota-los-servidores-de-piratas-informaticos.png\" alt=\"\" border=\"0\" data-original-height=\"295\" data-original-width=\"728\"\/><\/a><\/div>\n<p>Activo desde hace casi 30 a\u00f1os, el actor de amenazas emplea un <a rel=\"noopener nofollow\" href=\"https:\/\/unit42.paloaltonetworks.com\/turla-pensive-ursa-threat-assessment\" target=\"_blank\">conjunto de herramientas diverso y sofisticado<\/a>incluidos Snake, ComRAT, <a rel=\"noopener nofollow\" href=\"https:\/\/www.welivesecurity.com\/2017\/03\/30\/carbon-paper-peering-turlas-second-stage-backdoor\/\" target=\"_blank\">Carb\u00f3n<\/a>Muleta, Kazuar, <a rel=\"noopener nofollow\" href=\"https:\/\/attack.mitre.org\/software\/S0537\/\" target=\"_blank\">Hiperpila<\/a> (tambi\u00e9n conocido como BigBoss) y TinyTurla. Se dirige principalmente a organizaciones gubernamentales, diplom\u00e1ticas y militares.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/1733342795_383_Turla-vinculada-a-Rusia-explota-los-servidores-de-piratas-informaticos.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/1733342795_383_Turla-vinculada-a-Rusia-explota-los-servidores-de-piratas-informaticos.png\" alt=\"\" border=\"0\" data-original-height=\"425\" data-original-width=\"728\"\/><\/a><\/div>\n<p>El grupo tambi\u00e9n tiene un historial de secuestrar la infraestructura de otros actores de amenazas para sus propios fines. En octubre de 2019, los gobiernos del Reino Unido y EE. UU. <a rel=\"noopener nofollow\" href=\"https:\/\/www.ncsc.gov.uk\/news\/turla-group-exploits-iran-apt-to-expand-coverage-of-victims\" target=\"_blank\">revel\u00f3<\/a> La explotaci\u00f3n por parte de Turla de las puertas traseras de un actor de amenazas iran\u00ed para promover sus propios requisitos de inteligencia.<\/p>\n<p>&#8220;Turla accedi\u00f3 y utiliz\u00f3 la infraestructura de comando y control (C2) de las APT iran\u00edes para desplegar sus propias herramientas para las v\u00edctimas de inter\u00e9s&#8221;, se\u00f1al\u00f3 en ese momento el Centro Nacional de Seguridad Cibern\u00e9tica del Reino Unido (NCSC). Desde entonces, el fabricante de Windows ha identificado al grupo de hackers iran\u00ed como OilRig.<\/p>\n<p>Luego, en enero de 2023, Mandiant, propiedad de Google, se\u00f1al\u00f3 que Turla se hab\u00eda aprovechado de la infraestructura de ataque utilizada por un malware b\u00e1sico llamado ANDROMEDA para entregar sus propias herramientas de reconocimiento y puerta trasera a objetivos en Ucrania.<\/p>\n<p>Kaspersky document\u00f3 el tercer caso en el que Turla reutiliz\u00f3 la herramienta de un atacante diferente en abril de 2023, cuando la puerta trasera Tomiris, atribuida a un actor de amenazas con sede en Kazajst\u00e1n rastreado como Storm-0473, se utiliz\u00f3 para implementar QUIETCANARY en septiembre de 2022.<\/p>\n<p>&#8220;La frecuencia de las operaciones de Secret Blizzard para cooptar o apoderarse de la infraestructura o herramientas de otros actores de amenazas sugiere que este es un componente intencional de las t\u00e1cticas y t\u00e9cnicas de Secret Blizzard&#8221;, se\u00f1al\u00f3 Microsoft.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/gartner-endpoint-protection-d-v1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/La-campana-HornsHooves-ofrece-RAT-a-traves-de-correos-electronicos.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La \u00faltima campa\u00f1a de ataque detectada por Black Lotus Labs y Microsoft muestra que el actor de amenazas utiliz\u00f3 servidores Storm-0156 C2 para implementar puertas traseras en dispositivos del gobierno afgano, mientras que en India, apuntaron a servidores C2 que albergaban datos exfiltrados de instituciones militares y relacionadas con la defensa de la India.<\/p>\n<p>El compromiso de los servidores Storm-0156 C2 tambi\u00e9n le ha permitido a Turla apoderarse de las puertas traseras del primero, como Crimson RAT y un implante Golang previamente indocumentado denominado Wainscot. Black Lotus Labs le dijo a The Hacker News que actualmente no se sabe c\u00f3mo se vieron comprometidos los servidores en primer lugar.<\/p>\n<p>Espec\u00edficamente, Redmond dijo que observ\u00f3 a Turla usando una infecci\u00f3n Crimson RAT que Storm-0156 hab\u00eda establecido en marzo de 2024 para descargar y ejecutar TwoDash en agosto de 2024. Tambi\u00e9n se implementa en las redes de v\u00edctimas junto con TwoDash otro descargador personalizado llamado MiniPocket que se conecta a un c\u00f3digo fijo. Direcci\u00f3n IP\/puerto que utiliza TCP para recuperar y ejecutar un binario de segunda etapa.<\/p>\n<p>Se dice adem\u00e1s que los atacantes respaldados por el Kremlin se movieron lateralmente a la estaci\u00f3n de trabajo del operador Storm-0156 probablemente abusando de una relaci\u00f3n de confianza para obtener inteligencia valiosa relacionada con sus herramientas, credenciales C2, as\u00ed como datos extra\u00eddos recopilados de operaciones anteriores, lo que indica una importante Escalada de la campa\u00f1a.<\/p>\n<p>&#8220;Esto permite a Secret Blizzard recopilar inteligencia sobre los objetivos de inter\u00e9s de Storm-0156 en el sur de Asia sin apuntar directamente a esas organizaciones&#8221;, dijo Microsoft.<\/p>\n<p>&#8220;Aprovechar las campa\u00f1as de otros permite a Secret Blizzard establecer puntos de apoyo en redes de inter\u00e9s con un esfuerzo relativamente m\u00ednimo. Sin embargo, debido a que estos puntos de apoyo iniciales se establecen en los objetivos de inter\u00e9s de otro actor de amenazas, la informaci\u00f3n obtenida a trav\u00e9s de esta t\u00e9cnica puede no alinearse completamente con Las prioridades de colecci\u00f3n de Secret Blizzard.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/12\/russia-linked-turla-exploits-pakistani.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El grupo de amenaza persistente avanzada (APT, por sus siglas en ingl\u00e9s) vinculado a Rusia, conocido como Turla<\/p>\n","protected":false},"author":1,"featured_media":1471485,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,34187,4586,4661,4664,32556,6614,12094,6214,201033,36,4654,201031,4659,4653,4655,73634,18,6213,457,246983,255454,246984,7982,201032,42530,26582,246982,4660],"class_list":["post-1471484","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-afganas","tag-atacar","tag-ataques-ciberneticos","tag-como-hackear","tag-entidades","tag-explota","tag-indias","tag-informaticos","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-paquistanies","tag-para","tag-piratas","tag-rusia","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-servidores","tag-software-malicioso-ransomware","tag-turla","tag-vinculada","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1471484","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1471484"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1471484\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1471485"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1471484"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1471484"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1471484"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}