{"id":1598867,"date":"2025-02-27T03:02:13","date_gmt":"2025-02-27T03:02:13","guid":{"rendered":"https:\/\/teknomers.com\/es\/cert-ua-advierte-sobre-los-ataques-de-uac-0173-que-desplegan-dcrat-para-comprometer-los-notarios-ucranianos\/"},"modified":"2025-02-27T03:02:18","modified_gmt":"2025-02-27T03:02:18","slug":"cert-ua-advierte-sobre-los-ataques-de-uac-0173-que-desplegan-dcrat-para-comprometer-los-notarios-ucranianos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/cert-ua-advierte-sobre-los-ataques-de-uac-0173-que-desplegan-dcrat-para-comprometer-los-notarios-ucranianos\/","title":{"rendered":"CERT-UA advierte sobre los ataques de UAC-0173 que desplegan DCRAT para comprometer los notarios ucranianos"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">26 de febrero de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad de la red \/ inteligencia de amenazas<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/CERT-UA-advierte-sobre-los-ataques-de-UAC-0173-que-desplegan-DCRAT.jpg\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>El equipo de respuesta a emergencias inform\u00e1ticas de Ucrania (CERT-UA) advirti\u00f3 el martes sobre la actividad renovada de un grupo criminal organizado que rastrea como UAC-0173 que implica infectar computadoras con un troyano de acceso remoto llamado DCRAT (tambi\u00e9n conocido como rata Darkcrystal).<\/p>\n<p>La Autoridad de Ciberseguridad de Ucrania dijo que observ\u00f3 la \u00faltima ola de ataque a partir de mediados de enero de 2025. La actividad est\u00e1 dise\u00f1ada para apuntar al notario de Ucrania.<\/p>\n<p>La cadena de infecci\u00f3n aprovecha los correos electr\u00f3nicos de phishing que afirman ser enviados en nombre del Ministerio de Justicia de Ucrania, instando a los destinatarios a descargar un ejecutable que, cuando se lance, conduce a la implementaci\u00f3n del malware DCRAT. El binario est\u00e1 alojado en el servicio de almacenamiento R2 Cloud de Cloudflare.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/La-estafa-malvada-utiliza-anuncios-falsos-de-Google-para-secuestrar.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Having thus provided primary access to the notary&#8217;s automated workplace, the attackers take measures to install additional tools, in particular, RDPWRAPPER, which implements the functionality of parallel RDP sessions, which, in combination with the use of the BORE utility, allows you to establish RDP connections from the Internet directly to the computer,&#8221; CERT-UA <a rel=\"noopener nofollow\" href=\"https:\/\/cert.gov.ua\/article\/6282536\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>Los ataques tambi\u00e9n se caracterizan por el uso de otras herramientas y familias de malware como Fiddler para interceptar datos de autenticaci\u00f3n ingresados \u200b\u200ben la interfaz web de los registros estatales, NMAP para el escaneo de redes y Xworm para robar datos confidenciales, como credenciales y contenido de portapapeles.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/CERT-UA-advierte-sobre-los-ataques-de-UAC-0173-que-desplegan-DCRAT.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/CERT-UA-advierte-sobre-los-ataques-de-UAC-0173-que-desplegan-DCRAT.png\" alt=\"\" border=\"0\" data-original-height=\"599\" data-original-width=\"728\"\/><\/a><\/div>\n<p>Adem\u00e1s, los sistemas comprometidos se utilizan como un conducto para redactar y enviar correos electr\u00f3nicos maliciosos utilizando la utilidad de la consola SendMail para propagar a\u00fan m\u00e1s los ataques.<\/p>\n<p>El desarrollo se produce d\u00edas despu\u00e9s de que CERT-UA atribuy\u00f3 un subgrupo dentro del Grupo de pirater\u00eda de lombrices de arena (tambi\u00e9n conocido como Apt44, Seashell Blizzard y UAC-0002) a la explotaci\u00f3n de una falla de seguridad ahora parada en Windows de Microsoft (CVE-2024-38213, CVSS CVSS: 6.5) En la segunda mitad de 2024 a trav\u00e9s de los documentos booby-trapados.<\/p>\n<p>Se ha encontrado que las cadenas de ataque ejecutan los comandos de PowerShell responsables de mostrar un archivo se\u00f1uelo, mientras que al mismo tiempo lanza cargas \u00fatiles adicionales en segundo plano, incluidos SecondBest (tambi\u00e9n conocido como EmpirePast), Spark y un cargador de Golang llamado Crookbag.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v1-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1738386538_999_La-estafa-malvada-utiliza-anuncios-falsos-de-Google-para-secuestrar.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La actividad, <a rel=\"noopener nofollow\" href=\"https:\/\/cert.gov.ua\/article\/6282517\" target=\"_blank\">atribuido<\/a> Para UAC-0212, compa\u00f1\u00edas de proveedores dirigidas de Serbia, la Rep\u00fablica Checa y Ucrania entre julio de 2024 y febrero de 2025, con algunas de ellas registradas contra m\u00e1s de dos docenas de empresas ucranianas especializadas en el desarrollo de sistemas de control de procesos automatizados (ACST), trabajos el\u00e9ctricos y transporte de carga.<\/p>\n<p>Algunos de estos ataques han sido documentados por <a rel=\"noopener nofollow\" href=\"https:\/\/strikeready.com\/blog\/ru-apt-targeting-energy-infrastructure-unknown-unknowns-part-3\/\" target=\"_blank\">Strikready Labs<\/a> y Microsoft, el \u00faltimo de los cuales est\u00e1 rastreando el grupo de amenazas bajo el apodo de apodo.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/cert-ua-warns-of-uac-0173-attacks.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80226 de febrero de 2025\ue804Ravie LakshmananSeguridad de la red \/ inteligencia de amenazas El equipo de respuesta a<\/p>\n","protected":false},"author":1,"featured_media":1598868,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,6088,2346,4661,145129,4664,43215,62458,282724,273784,36,273783,48454,4654,273782,4659,4653,4655,18,246983,4665,246984,131,282723,4612,455,239484],"class_list":["post-1598867","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-advierte","tag-ataques","tag-ataques-ciberneticos","tag-certua","tag-como-hackear","tag-comprometer","tag-dcrat","tag-desplegan","tag-las-noticias-del-hacker","tag-los","tag-malware-de-ransomware","tag-notarios","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-sobre","tag-uac0173","tag-ucranianos","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1598867","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1598867"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1598867\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1598868"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1598867"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1598867"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1598867"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}