Dos cl\u00fasteres de amenazas conocidos se agrupan en el nombre de la cabeza y doce y doce que probablemente hayan unido fuerzas para atacar a las entidades rusas, revelan nuevos hallazgos de Kaspersky.<\/p>\n
“La yegua de cabeza se bas\u00f3 en gran medida en las herramientas previamente asociadas con doce. Adem\u00e1s, los ataques de la yegua de cabeza utilizan los servidores de comando y control (C2) vinculados exclusivamente a doce antes de estos incidentes”, la compa\u00f1\u00eda dicho<\/a>. “Esto sugiere una colaboraci\u00f3n potencial y campa\u00f1as conjuntas entre los dos grupos”.<\/p>\n Kaspersky document\u00f3 anteriormente y doce y doce fueron documentados previamente por Kaspersky en septiembre de 2024, con el primero aprovechando una vulnerabilidad ahora parada en Winrar (CVE-2023-38831) para obtener acceso inicial y entregar malware y, en algunos casos, incluso implementar familias de ransomware como Lockbit para Windows y Babuk para Linux (ESXI) en intercambio de A ransom.<\/p>\n Doce, por otro lado, se ha observado organizar ataques destructivos, aprovechando varias herramientas disponibles p\u00fablicamente para cifrar los datos de las v\u00edctimas y destruir irrevocablemente su infraestructura con un limpiaparabrisas para evitar los esfuerzos de recuperaci\u00f3n.<\/p>\n El \u00faltimo an\u00e1lisis de Kaspersky muestra el uso de dos nuevas herramientas, incluida Cobint, un trasero utilizado por Excobalt y Crypt Ghouls en ataques dirigidos a empresas rusas en el pasado, as\u00ed como un implante a medida llamado Phantomjitter que est\u00e1 instalado en servidores para la ejecuci\u00f3n de comandos remotos.<\/p>\n El despliegue de COBINT tambi\u00e9n se ha observado en ataques montados por doce, con superposiciones descubiertas entre la tripulaci\u00f3n de pirater\u00eda y la cripta ghouls, lo que indica alg\u00fan tipo de conexi\u00f3n t\u00e1ctica entre los diferentes grupos que actualmente se dirigen a Rusia.<\/p>\n Otras v\u00edas de acceso iniciales explotadas por la yegua principal incluyen el abuso de otros defectos de seguridad conocidos en Microsoft Exchange Server (p. Ej., CVE-2021-26855, tambi\u00e9n conocido como Proxylogon), as\u00ed como a trav\u00e9s de correos electr\u00f3nicos de phishing con accesorios deshonestos y compromisos de redes de contratistas para infiltrarse en la infraestructura de v\u00edctimas, una t\u00e9cnica conocida como la de la t\u00e9cnica conocida como la el ataque de relaci\u00f3n de confianza<\/a>. <\/p>\n “Los atacantes usaron Proxylogon para ejecutar un comando para descargar y iniciar Cobint en el servidor”, dijo Kaspersky, destacando el uso de un mecanismo de persistencia actualizado que evita las tareas programadas a favor de crear nuevos usuarios locales privilegiados en un servidor de plataforma de automatizaci\u00f3n de negocios. Estas cuentas se utilizan para conectarse al servidor a trav\u00e9s de RDP para transferir y ejecutar herramientas de manera interactiva.<\/p>\n Adem\u00e1s de asignar los nombres de carga \u00fatil maliciosa que imitan los archivos del sistema operativo benigno (por ejemplo, Calc.exe o Winuac.exe), se ha encontrado que los actores de amenaza eliminan rastros de su actividad al borrar registros de eventos y utilizar herramientas proxy y t\u00faneles como GOST y CloudFlared para el tr\u00e1fico de red.<\/p>\n Algunas de las otras utilidades utilizadas son <\/p>\n Los ataques culminan con el despliegue de Lockbit 3.0 y ransomware Babuk en hosts comprometidos, seguido de dejar caer una nota que insta a las v\u00edctimas a contactarlas en Telegram para descifrar sus archivos.<\/p>\n “Head Mare est\u00e1 expandiendo activamente su conjunto de t\u00e9cnicas y herramientas”, dijo Kaspersky. “En los ataques recientes, obtuvieron acceso inicial a la infraestructura objetivo no solo utilizando correos electr\u00f3nicos de phishing con exploits sino tambi\u00e9n por compromiso de contratistas. Head Mare est\u00e1 trabajando con doce para lanzar ataques a empresas estatales y privadas en Rusia”.<\/p>\n El desarrollo se produce como bi.zone vinculado<\/a> El actor de amenaza vinculado a Corea del Norte conocido como escorruct (tambi\u00e9n conocido como APT37, Reaper, Ricochet Chollima y Squid Werewolf) a una campa\u00f1a de phishing en diciembre de 2024 que entreg\u00f3 un cargador de malware responsable de desplegar una carga \u00fatil desconocida de un servidor remoto.<\/p>\n La actividad, dijo la compa\u00f1\u00eda rusa, se parece mucho a otra campa\u00f1a denominada#Sleep que Securonix document\u00f3 en octubre de 2024 que conduce al despliegue de una puerta trasera denominada velo en intrusiones dirigidas a Camboya y probablemente otros pa\u00edses del sudeste asi\u00e1tico.<\/p>\n El mes pasado, bi.zone tambi\u00e9n detallado<\/a> continuos ataques cibern\u00e9ticos organizados por Bloody Wolf para entregar RAT NetSupport como parte de una campa\u00f1a que ha comprometido m\u00e1s de 400 sistemas en Kazajst\u00e1n y Rusia, marcando un cambio de Strrat.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Kaspersky-vincula-a-las-doce-yeguas-dirigidas-a-entidades-rusas.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n\n
<\/a><\/center><\/div>\n