El actor de amenazas detr\u00e1s del ataque a la cadena de suministro de SolarWinds se ha relacionado con otro malware posterior a la explotaci\u00f3n “altamente dirigido” que podr\u00eda usarse para mantener el acceso persistente a entornos comprometidos.<\/p>\n
Doblado MagicWeb<\/strong> por los equipos de inteligencia de amenazas de Microsoft, el desarrollo reitera el compromiso de Nobelium de desarrollar y mantener capacidades especialmente dise\u00f1adas.<\/p>\n Nobelium es el apodo del gigante tecnol\u00f3gico para un grupo de actividades que salieron a la luz con el sofisticado ataque dirigido a SolarWinds en diciembre de 2020, y que se superpone con el grupo de pirater\u00eda del estado-naci\u00f3n ruso ampliamente conocido como APT29, Cozy Bear o The Dukes.<\/p>\n “Nobelium se mantiene muy activo, ejecutando m\u00faltiples campa\u00f1as en paralelo dirigidas a organizaciones gubernamentales, organizaciones no gubernamentales (ONG), organizaciones intergubernamentales (IGO) y grupos de expertos en los EE. UU., Europa y Asia Central”, Microsoft dijo<\/a>.<\/p>\n Se estima que MagicWeb, que comparte similitudes con otra herramienta llamada FoggyWeb, se implement\u00f3 para mantener el acceso y evitar el desalojo durante los esfuerzos de remediaci\u00f3n, pero solo despu\u00e9s de obtener acceso altamente privilegiado a un entorno y moverse lateralmente a un servidor AD FS.<\/p>\n Si bien FoggyWeb viene con capacidades especializadas para entregar cargas \u00fatiles adicionales y robar informaci\u00f3n confidencial de los Servicios de federaci\u00f3n de Active Directory (ANUNCIO FS<\/a>), MagicWeb es una DLL no autorizada (una versi\u00f3n con puerta trasera de “Microsoft.IdentityServer.Diagnostics.dll”) que facilita el acceso encubierto a un sistema AD FS a trav\u00e9s de una omisi\u00f3n de autenticaci\u00f3n.<\/p>\n \u201cLa capacidad de Nobelium para implementar MagicWeb depend\u00eda de tener acceso a credenciales altamente privilegiadas que ten\u00edan acceso administrativo a los servidores AD FS, d\u00e1ndoles la capacidad de realizar cualquier actividad maliciosa que quisieran en los sistemas a los que ten\u00edan acceso\u201d, dijo Microsoft.<\/p>\n Los hallazgos llegan inmediatamente despu\u00e9s de la divulgaci\u00f3n de una campa\u00f1a dirigida por APT29 dirigida a organizaciones afiliadas a la OTAN con el objetivo de acceder a informaci\u00f3n de pol\u00edtica exterior.<\/p>\n Espec\u00edficamente, esto implica deshabilitar una funci\u00f3n de registro empresarial llamada Auditor\u00eda de alcance<\/a> (anteriormente Auditor\u00eda avanzada) para recopilar correos electr\u00f3nicos de las cuentas de Microsoft 365. “APT29 contin\u00faa demostrando t\u00e1cticas de evasi\u00f3n y seguridad operativa excepcionales”, Mandiant dijo<\/a>.<\/p>\n Otra t\u00e1ctica m\u00e1s nueva utilizada por el actor en operaciones recientes es el uso de un ataque de adivinaci\u00f3n de contrase\u00f1as para obtener las credenciales asociadas con una cuenta inactiva e inscribirla para la autenticaci\u00f3n de m\u00faltiples factores, otorg\u00e1ndole acceso a la infraestructura VPN de la organizaci\u00f3n.<\/p>\n APT29 sigue siendo un grupo de amenazas prol\u00edfico al igual que h\u00e1bil. El mes pasado, la Unidad 42 de Palo Alto Networks se\u00f1al\u00f3 una campa\u00f1a de phishing que aprovecha los servicios de almacenamiento en la nube de Dropbox y Google Drive para implementar malware y otras acciones posteriores al compromiso.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n![\"Hackers](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1661459115_129_Microsoft-descubre-nuevo-malware-posterior-al-compromiso-utilizado-por-los.jpg\" "\\"Hackers")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n