El colectivo de piratas inform\u00e1ticos patrocinado por el estado ruso conocido como APT29 se ha atribuido a una nueva campa\u00f1a de phishing que aprovecha los servicios en la nube leg\u00edtimos como Google Drive y Dropbox para entregar cargas \u00fatiles maliciosas en sistemas comprometidos.<\/p>\n
“Se cree que estas campa\u00f1as se dirigieron a varias misiones diplom\u00e1ticas occidentales entre mayo y junio de 2022”, Palo Alto Networks Unit 42 dijo<\/a> en un informe del martes. “Los se\u00f1uelos incluidos en estas campa\u00f1as sugieren apuntar a una embajada extranjera en Portugal, as\u00ed como a una embajada extranjera en Brasil”.<\/p>\n APT29, tambi\u00e9n rastreado bajo los apodos Cozy Bear, Cloaked Ursa o The Dukes, se ha caracterizado como un grupo de ciberespionaje organizado que trabaja para recopilar inteligencia que se alinea con los objetivos estrat\u00e9gicos de Rusia.<\/p>\n Microsoft rastrea por separado algunos aspectos de las actividades de la amenaza persistente avanzada, incluido el infame ataque a la cadena de suministro de SolarWinds de 2020, con el nombre de Nobelium, y Mandiant lo llama un actor de amenazas en evoluci\u00f3n, disciplinado y altamente calificado que opera con un mayor nivel de seguridad operativa\u201d.<\/p>\n Las intrusiones m\u00e1s recientes son una continuaci\u00f3n de la misma operaci\u00f3n encubierta previamente detallada por Mandiant y Cl\u00faster25<\/a> en mayo de 2022, en el que los correos electr\u00f3nicos de phishing dirigido condujeron al despliegue de Cobalt Strike Beacons por medio de un archivo adjunto de cuentagotas HTML denominado EnvyScout (tambi\u00e9n conocido como ROOTSAW) adjunto directamente a las misivas.<\/p>\n Lo que cambi\u00f3 en las iteraciones m\u00e1s recientes es el uso de servicios en la nube como Dropbox y Google Drive para ocultar sus acciones y recuperar malware adicional en los entornos de destino. Se dice que una segunda versi\u00f3n del ataque observado a fines de mayo de 2022 se adapt\u00f3 a\u00fan m\u00e1s para alojar el cuentagotas HTML en Dropbox.<\/p>\n “Las campa\u00f1as y las cargas \u00fatiles analizadas a lo largo del tiempo muestran un fuerte enfoque en operar bajo el radar y reducir las tasas de detecci\u00f3n”, se\u00f1al\u00f3 Cluster25 en ese momento. “En este sentido, incluso el uso de servicios leg\u00edtimos como Trello y Dropbox sugiere que la voluntad del adversario de operar durante mucho tiempo dentro de los entornos de las v\u00edctimas permanece sin ser detectada”.<\/p>\n EnvyScout, por su parte, sirve como una herramienta auxiliar para infectar a\u00fan m\u00e1s al objetivo con el implante elegido por el actor, en este caso, un ejecutable basado en .NET que est\u00e1 oculto en m\u00faltiples capas de ofuscaci\u00f3n y se usa para extraer informaci\u00f3n del sistema y ejecutar binarios de pr\u00f3xima etapa como Cobalt Strike obtenidos de Google Drive.<\/p>\n “El uso de los servicios de DropBox y Google Drive […] es una nueva t\u00e1ctica para este actor y resulta dif\u00edcil de detectar debido a la naturaleza omnipresente de estos servicios y al hecho de que millones de clientes en todo el mundo conf\u00edan en ellos”, dijeron los investigadores.<\/p>\n Los hallazgos tambi\u00e9n coinciden con una nueva declaraci\u00f3n del Consejo de la Uni\u00f3n Europea, que denuncia el aumento en las actividades cibern\u00e9ticas maliciosas perpetradas por los actores de amenazas rusos y “condena[ing] este comportamiento inaceptable en el ciberespacio”.<\/p>\n “Este aumento de actividades cibern\u00e9ticas maliciosas, en el contexto de la guerra contra Ucrania, crea riesgos inaceptables de efectos indirectos, malas interpretaciones y una posible escalada”, dijo el Consejo. dijo<\/a> en un comunicado de prensa.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/Un-nuevo-estudio-encuentra-que-la-mayoria-de-los-proveedores.png\")
<\/a><\/div>\n![\"Cargas](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1658300196_66_Hackers-rusos-usan-DropBox-y-Google-Drive-para-soltar-cargas.jpg\" "\\"Cargas")
<\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n