{"id":1482454,"date":"2024-12-11T20:55:55","date_gmt":"2024-12-11T20:55:55","guid":{"rendered":"https:\/\/teknomers.com\/es\/secret-blizzard-implementa-la-puerta-trasera-kazuar-en-ucrania-utilizando-el-malware-como-servicio-amadey\/"},"modified":"2024-12-11T20:56:00","modified_gmt":"2024-12-11T20:56:00","slug":"secret-blizzard-implementa-la-puerta-trasera-kazuar-en-ucrania-utilizando-el-malware-como-servicio-amadey","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/secret-blizzard-implementa-la-puerta-trasera-kazuar-en-ucrania-utilizando-el-malware-como-servicio-amadey\/","title":{"rendered":"Secret Blizzard implementa la puerta trasera Kazuar en Ucrania utilizando el malware como servicio Amadey"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">11 de diciembre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Malware\/Ciberespionaje<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/Secret-Blizzard-implementa-la-puerta-trasera-Kazuar-en-Ucrania-utilizando.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>El actor-Estado-naci\u00f3n ruso es seguido como <strong>Ventisca secreta<\/strong> Se ha observado que aprovecha el malware asociado con otros actores de amenazas para implementar una puerta trasera conocida llamada Kazuar en dispositivos objetivo ubicados en Ucrania.<\/p>\n<p>Los nuevos hallazgos provienen del equipo de inteligencia de amenazas de Microsoft, que dijo que observ\u00f3 que el adversario aprovechaba el malware bot Amadey para descargar malware personalizado en sistemas &#8220;espec\u00edficamente seleccionados&#8221; asociados con el ej\u00e9rcito ucraniano entre marzo y abril de 2024.<\/p>\n<p>Se considera que la actividad es la segunda vez desde 2022 que Secret Blizzard, tambi\u00e9n conocida como Turla, se ha aferrado a una campa\u00f1a de cibercrimen para propagar sus propias herramientas en Ucrania.<\/p>\n<p>&#8220;Controlar el acceso de otros actores de amenazas resalta el enfoque de Secret Blizzard para diversificar sus vectores de ataque&#8221;, dijo la compa\u00f1\u00eda en un <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2024\/12\/11\/frequent-freeloader-part-ii-russian-actor-secret-blizzard-using-tools-of-other-groups-to-attack-ukraine\/\" target=\"_blank\">informe<\/a> compartido con The Hacker News.<\/p>\n<p>Algunos de los otros m\u00e9todos conocidos empleados por el equipo de pirater\u00eda incluyen el adversario en el medio (<a rel=\"noopener nofollow\" href=\"https:\/\/www.welivesecurity.com\/2018\/05\/22\/turla-mosquito-shift-towards-generic-tools\/\" target=\"_blank\">AitM<\/a>) campa\u00f1as, <a rel=\"noopener nofollow\" href=\"https:\/\/www.welivesecurity.com\/2020\/03\/12\/tracking-turla-new-backdoor-armenian-watering-holes\/\" target=\"_blank\">compromisos web estrat\u00e9gicos<\/a> (tambi\u00e9n conocidos como ataques de abrevadero) y phishing.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zerotrust-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1732617974_421_CISA-insta-a-las-agencias-a-aplicar-parches-criticos-quotRedes.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Secret Blizzard tiene un historial de apuntar a varios sectores para facilitar el acceso encubierto a largo plazo para la recopilaci\u00f3n de inteligencia, pero su enfoque principal est\u00e1 en los ministerios de relaciones exteriores, embajadas, oficinas gubernamentales, departamentos de defensa y empresas relacionadas con la defensa en todo el mundo.<\/p>\n<p>El \u00faltimo informe llega una semana despu\u00e9s de que el gigante tecnol\u00f3gico, junto con Lumen Technologies Black Lotus Labs, revelara el secuestro por parte de Turla de 33 servidores de comando y control (C2) de un grupo de hackers con sede en Pakist\u00e1n llamado Storm-0156 para llevar a cabo sus propias operaciones. .<\/p>\n<p>Los ataques contra entidades ucranianas implican requisa <a rel=\"noopener nofollow\" href=\"https:\/\/www.splunk.com\/en_us\/blog\/security\/amadey-threat-analysis-and-detections.html\" target=\"_blank\">bots amadey<\/a> implementar una puerta trasera conocida como <a rel=\"noopener nofollow\" href=\"https:\/\/securelist.com\/the-epic-turla-operation\/65545\/\" target=\"_blank\">tavdig<\/a>que luego se utiliza para instalar una versi\u00f3n actualizada de Kazuar, que fue documentada por la Unidad 42 de Palo Alto Networks en noviembre de 2023.<\/p>\n<p>Microsoft est\u00e1 rastreando la actividad cibercriminal vinculada a Amadey, que a menudo incluye la ejecuci\u00f3n del minero de criptomonedas XMRig, bajo el nombre de Storm-1919.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/1733950555_57_Secret-Blizzard-implementa-la-puerta-trasera-Kazuar-en-Ucrania-utilizando.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/1733950555_57_Secret-Blizzard-implementa-la-puerta-trasera-Kazuar-en-Ucrania-utilizando.png\" alt=\"Amadey Malware como servicio\" border=\"0\" data-original-height=\"510\" data-original-width=\"728\" title=\"Amadey Malware como servicio\"\/><\/a><\/div>\n<p>Se cree que Secret Blizzard utiliz\u00f3 el malware como servicio (MaaS) de Amadey o accedi\u00f3 sigilosamente a los paneles de comando y control (C2) de Amadey para descargar un cuentagotas de PowerShell en los dispositivos de destino. El dropper comprende una carga \u00fatil de Amadey codificada en Base64 a la que se le a\u00f1ade un segmento de c\u00f3digo, que vuelve a llamar a un servidor Turla C2.<\/p>\n<p>&#8220;La necesidad de codificar el cuentagotas de PowerShell con una URL C2 separada controlada por Secret Blizzard podr\u00eda indicar que Secret Blizzard no ten\u00eda el control directo del mecanismo C2 utilizado por el bot Amadey&#8221;, dijo Microsoft.<\/p>\n<p>La siguiente fase implica descargar una herramienta de reconocimiento personalizada con el objetivo de recopilar detalles sobre el dispositivo v\u00edctima y probablemente verificar si Microsoft Defender estaba habilitado, lo que en \u00faltima instancia permite al actor de la amenaza concentrarse en los sistemas que son de mayor inter\u00e9s.<\/p>\n<p>En esta etapa, el ataque procede a implementar un cuentagotas de PowerShell que contiene la puerta trasera Tavdig y un binario leg\u00edtimo de Symantec que es susceptible a la carga lateral de DLL. Tavdig, por su parte, se utiliza para realizar reconocimientos adicionales y lanzar KazuarV2.<\/p>\n<p>Microsoft dijo que tambi\u00e9n detect\u00f3 que el actor de amenazas reutilizaba una puerta trasera de PowerShell vinculada a un grupo de hackers diferente con sede en Rusia llamado Flying Yeti (tambi\u00e9n conocido como Storm-1837 y UAC-0149) para implementar un cuentagotas de PowerShell que incorpora Tavdig.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/gartner-endpoint-protection-d-v1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/La-campana-HornsHooves-ofrece-RAT-a-traves-de-correos-electronicos.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Actualmente se est\u00e1 investigando c\u00f3mo Secret Blizzard obtuvo el control de la puerta trasera Storm-1837 o de los bots Amadey para descargar sus propias herramientas, se\u00f1al\u00f3 el gigante tecnol\u00f3gico.<\/p>\n<p>No hace falta decir que los hallazgos resaltan una vez m\u00e1s la b\u00fasqueda repetida por parte del actor de amenazas de puntos de apoyo proporcionados por otras partes, ya sea comprando el acceso o rob\u00e1ndolos, para llevar a cabo campa\u00f1as de espionaje de una manera que oscurezca su propia presencia.<\/p>\n<p>&#8220;No es raro que los actores utilicen las mismas t\u00e1cticas o herramientas, aunque rara vez vemos evidencia de que comprometan y utilicen la infraestructura de otros actores&#8221;, dijo a The Hacker News Sherrod DeGrippo, director de Estrategia de Inteligencia de Amenazas de Microsoft.<\/p>\n<p>&#8220;La mayor\u00eda de los actores de amenazas patrocinados por el estado tienen objetivos operativos que dependen de una infraestructura dedicada o cuidadosamente comprometida para conservar la integridad de su operaci\u00f3n. Esta es potencialmente una t\u00e9cnica de ofuscaci\u00f3n efectiva para frustrar a los analistas de inteligencia de amenazas y dificultar la atribuci\u00f3n al actor de amenazas correcto&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/12\/secret-blizzard-deploys-kazuar-backdoor.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80211 de diciembre de 2024\ue804Ravie LakshmananMalware\/Ciberespionaje El actor-Estado-naci\u00f3n ruso es seguido como Ventisca secreta Se ha observado que<\/p>\n","protected":false},"author":1,"featured_media":1482455,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,93814,4661,20480,440,4664,4881,213126,201033,4669,4654,201031,4659,4653,4655,1732,3922,246983,255454,246984,4204,201032,7157,353,9413,246982,4660],"class_list":["post-1482454","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-amadey","tag-ataques-ciberneticos","tag-blizzard","tag-como","tag-como-hackear","tag-implementa","tag-kazuar","tag-las-noticias-de-los-piratas-informaticos","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-puerta","tag-secret","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-servicio","tag-software-malicioso-ransomware","tag-trasera","tag-ucrania","tag-utilizando","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1482454","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1482454"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1482454\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1482455"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1482454"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1482454"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1482454"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}