{"id":1493152,"date":"2024-12-18T19:34:50","date_gmt":"2024-12-18T19:34:50","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-de-apt29-se-dirigen-a-victimas-de-alto-valor-utilizando-servidores-rdp-no-autorizados-y-pyrdp\/"},"modified":"2024-12-18T19:35:05","modified_gmt":"2024-12-18T19:35:05","slug":"los-piratas-informaticos-de-apt29-se-dirigen-a-victimas-de-alto-valor-utilizando-servidores-rdp-no-autorizados-y-pyrdp","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-de-apt29-se-dirigen-a-victimas-de-alto-valor-utilizando-servidores-rdp-no-autorizados-y-pyrdp\/","title":{"rendered":"Los piratas inform\u00e1ticos de APT29 se dirigen a v\u00edctimas de alto valor utilizando servidores RDP no autorizados y PyRDP"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">18 de diciembre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Ciberespionaje\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/Los-piratas-informaticos-de-APT29-se-dirigen-a-victimas-de.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Se ha observado que el actor de amenazas APT29 vinculado a Rusia reutiliza una metodolog\u00eda leg\u00edtima de ataque de equipo rojo como parte de ataques cibern\u00e9ticos que aprovechan archivos de configuraci\u00f3n maliciosos del Protocolo de escritorio remoto (RDP).<\/p>\n<p>La actividad, que ha tenido como objetivo gobiernos y fuerzas armadas, grupos de expertos, investigadores acad\u00e9micos y entidades ucranianas, implica la adopci\u00f3n de una t\u00e9cnica &#8220;PDR deshonesta&#8221; que fue <a rel=\"noopener nofollow\" href=\"https:\/\/www.blackhillsinfosec.com\/rogue-rdp-revisiting-initial-access-methods\/\" target=\"_blank\">previamente documentado<\/a> por Black Hills Information Security en 2022, dijo Trend Micro en un informe.<\/p>\n<p>&#8220;Una v\u00edctima de esta t\u00e9cnica dar\u00eda control parcial de su m\u00e1quina al atacante, lo que podr\u00eda provocar una fuga de datos e instalaci\u00f3n de malware&#8221;, afirman los investigadores Feike Hacquebord y Stephen Hilt. <a rel=\"noopener nofollow\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/24\/l\/earth-koshchei.html\" target=\"_blank\">dicho<\/a>.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zerotrust-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1732617974_421_CISA-insta-a-las-agencias-a-aplicar-parches-criticos-quotRedes.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La empresa de ciberseguridad est\u00e1 rastreando al grupo de amenazas bajo su propio apodo Earth Koshchei, afirmando que los preparativos para la campa\u00f1a comenzaron el 7 y 8 de agosto de 2024. Las campa\u00f1as de RDP tambi\u00e9n fueron destacadas por el Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA). , Microsoft y Amazon Web Services (AWS) en octubre.<\/p>\n<p>Los correos electr\u00f3nicos de phishing fueron dise\u00f1ados para enga\u00f1ar a los destinatarios para que lanzaran un archivo de configuraci\u00f3n RDP malicioso adjunto al mensaje, lo que provocaba que sus m\u00e1quinas se conectaran a un servidor RDP externo a trav\u00e9s de uno de los 193 repetidores RDP del grupo. Se calcula que en un solo d\u00eda se atacaron unas 200 v\u00edctimas de alto perfil, lo que indica la magnitud de la campa\u00f1a.<\/p>\n<p>El m\u00e9todo de ataque descrito por Black Hill implica el uso de un proyecto de c\u00f3digo abierto llamado <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/GoSecure\/pyrdp\" target=\"_blank\">PyRDP<\/a> \u2013 descrito como una &#8220;herramienta y biblioteca Monster-in-the-Middle (MitM)&#8221; basada en Python, frente al servidor RDP real controlado por el adversario para minimizar el riesgo de detecci\u00f3n.<\/p>\n<p>Por lo tanto, cuando una v\u00edctima abre el archivo RDP, con nombre en c\u00f3digo HUSTLECON, desde el mensaje de correo electr\u00f3nico, inicia una conexi\u00f3n RDP saliente al rel\u00e9 PyRDP, que luego redirige la sesi\u00f3n a un servidor malicioso.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/1734550488_641_Los-piratas-informaticos-de-APT29-se-dirigen-a-victimas-de.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/1734550488_641_Los-piratas-informaticos-de-APT29-se-dirigen-a-victimas-de.png\" alt=\"\" border=\"0\" data-original-height=\"961\" data-original-width=\"1045\"\/><\/a><\/div>\n<p>&#8220;Al establecer la conexi\u00f3n, el servidor fraudulento imita el comportamiento de un servidor RDP leg\u00edtimo y explota la sesi\u00f3n para llevar a cabo diversas actividades maliciosas&#8221;, dijeron los investigadores. &#8220;Un vector de ataque principal implica que el atacante implemente scripts maliciosos o altere la configuraci\u00f3n del sistema en la m\u00e1quina de la v\u00edctima&#8221;.<\/p>\n<p>Adem\u00e1s de eso, el servidor proxy PyRDP permite al atacante obtener acceso a los sistemas de la v\u00edctima, realizar operaciones con archivos e inyectar cargas \u00fatiles maliciosas. El ataque culmina cuando el actor de la amenaza aprovecha la sesi\u00f3n RDP comprometida para filtrar datos confidenciales, incluidas credenciales y otra informaci\u00f3n patentada, a trav\u00e9s del proxy.<\/p>\n<p>Lo notable de este ataque es que la recopilaci\u00f3n de datos se facilita mediante un archivo de configuraci\u00f3n malicioso sin tener que implementar ning\u00fan malware personalizado, lo que permite que los actores de la amenaza pasen desapercibidos.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/gartner-endpoint-protection-d-v3\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/INTERPOL-detiene-a-5500-personas-en-campana-mundial-contra-la.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Otra caracter\u00edstica que merece menci\u00f3n es el uso de capas de anonimizaci\u00f3n como nodos de salida TOR para controlar los servidores RDP, as\u00ed como proveedores de proxy residenciales y servicios VPN comerciales para acceder a servidores de correo leg\u00edtimos que se emplearon para enviar correos electr\u00f3nicos de phishing.<\/p>\n<p>&#8220;Herramientas como PyRDP mejoran el ataque al permitir la interceptaci\u00f3n y manipulaci\u00f3n de conexiones RDP&#8221;, agregaron los investigadores. &#8220;PyRDP puede rastrear autom\u00e1ticamente unidades compartidas redirigidas por la v\u00edctima y guardar su contenido localmente en la m\u00e1quina del atacante, lo que facilita la filtraci\u00f3n de datos sin problemas&#8221;.<\/p>\n<p>&#8220;Earth Koshchei utiliza nuevas metodolog\u00edas a lo largo del tiempo para sus campa\u00f1as de espionaje. No s\u00f3lo prestan mucha atenci\u00f3n a las vulnerabilidades nuevas y antiguas que les ayudan a obtener acceso inicial, sino que tambi\u00e9n analizan las metodolog\u00edas y herramientas que desarrollan los equipos rojos&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/12\/apt29-hackers-target-high-value-victims.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80218 de diciembre de 2024\ue804Ravie LakshmananCiberespionaje\/malware Se ha observado que el actor de amenazas APT29 vinculado a Rusia<\/p>\n","protected":false},"author":1,"featured_media":1493153,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,657,123623,4661,52067,4664,13132,6214,201033,36,4654,201031,4659,4653,4655,6213,268437,93870,246983,4665,246984,7982,201032,9413,896,1759,246982,4660],"class_list":["post-1493152","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-alto","tag-apt29","tag-ataques-ciberneticos","tag-autorizados","tag-como-hackear","tag-dirigen","tag-informaticos","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-piratas","tag-pyrdp","tag-rdp","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-servidores","tag-software-malicioso-ransomware","tag-utilizando","tag-valor","tag-victimas","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1493152","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1493152"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1493152\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1493153"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1493152"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1493152"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1493152"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}