{"id":423356,"date":"2022-10-13T22:18:13","date_gmt":"2022-10-13T22:18:13","guid":{"rendered":"https:\/\/teknomers.com\/es\/investigadores-descubren-puertas-traseras-personalizadas-y-herramientas-de-espionaje-utilizadas-por-los-piratas-informaticos-de-polonium\/"},"modified":"2022-10-13T22:18:14","modified_gmt":"2022-10-13T22:18:14","slug":"investigadores-descubren-puertas-traseras-personalizadas-y-herramientas-de-espionaje-utilizadas-por-los-piratas-informaticos-de-polonium","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/investigadores-descubren-puertas-traseras-personalizadas-y-herramientas-de-espionaje-utilizadas-por-los-piratas-informaticos-de-polonium\/","title":{"rendered":"Investigadores descubren puertas traseras personalizadas y herramientas de espionaje utilizadas por los piratas inform\u00e1ticos de Polonium"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un actor de amenazas rastreado como Polonium se ha relacionado con m\u00e1s de una docena de ataques altamente dirigidos contra entidades israel\u00edes con siete puertas traseras personalizadas diferentes desde al menos septiembre de 2021.<\/p>\n<p>Las intrusiones estaban dirigidas a organizaciones en varios sectores, como ingenier\u00eda, tecnolog\u00eda de la informaci\u00f3n, derecho, comunicaciones, marca y marketing, medios, seguros y servicios sociales, dijo la firma de ciberseguridad ESET.<\/p>\n<p>El polonio es el apodo con el tema de los elementos qu\u00edmicos que Microsoft le dio a un grupo operativo sofisticado que se cree que tiene su sede en el L\u00edbano y se sabe que ataca exclusivamente a objetivos israel\u00edes.<\/p>\n<p>Las actividades realizadas por el grupo salieron a la luz por primera vez a principios de junio cuando el fabricante de Windows revel\u00f3 que suspendi\u00f3 m\u00e1s de 20 cuentas maliciosas de OneDrive creadas por el adversario con fines de comando y control (C2).<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La seguridad cibern\u00e9tica\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/El-nuevo-marco-de-ataque-de-malware-chino-se-dirige.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>El n\u00facleo de los ataques ha sido el uso de implantes denominados CreepyDrive y CreepyBox por su capacidad para filtrar datos confidenciales a cuentas de OneDrive y Dropbox controladas por actores.  Tambi\u00e9n se implement\u00f3 una puerta trasera de PowerShell denominada CreepySnail.<\/p>\n<p>El \u00faltimo descubrimiento de ESET de otras cinco puertas traseras no documentadas previamente pone de relieve un actor de amenazas activo orientado al espionaje que est\u00e1 refinando y actualizando constantemente su arsenal de malware.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Hackers de polonio\" border=\"0\" data-original-height=\"303\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1665699493_179_Investigadores-descubren-puertas-traseras-personalizadas-y-herramientas-de-espionaje-utilizadas.jpg\" title=\"Hackers de polonio\" \/><\/p>\n<p>\u201cLas numerosas versiones y cambios que Polonium introdujo en sus herramientas personalizadas muestran un esfuerzo continuo y de largo plazo para espiar los objetivos del grupo\u201d, dijo el investigador de ESET Mat\u00edas Porolli. <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2022\/10\/11\/polonium-targets-israel-creepy-malware\/\" target=\"_blank\">dijo<\/a>.  &#8220;El grupo no parece participar en ninguna acci\u00f3n de sabotaje o ransomware&#8221;.<\/p>\n<p>La lista de herramientas de pirater\u00eda personalizadas es la siguiente:<\/p>\n<ul>\n<li><strong>Unidad espeluznante\/Caja espeluznante<\/strong> &#8211; Una puerta trasera de PowerShell que lee y ejecuta comandos desde un archivo de texto almacenado en OneDrive o Dropbox.<\/li>\n<li><strong>espeluznantecaracol<\/strong> &#8211; Una puerta trasera de PowerShell que recibe comandos del propio servidor C2 del atacante<\/li>\n<li><strong>ProfundoCreep<\/strong> &#8211; Puerta trasera AC# que lee comandos de un archivo de texto almacenado en cuentas de Dropbox y extrae datos<\/li>\n<li><strong>MegaCreep<\/strong> &#8211; Puerta trasera AC# que lee comandos de un archivo de texto almacenado en el servicio de almacenamiento en la nube de Mega<\/li>\n<li><strong>FlipCreep<\/strong> &#8211; Puerta trasera AC# que lee comandos de un archivo de texto almacenado en un servidor FTP y extrae datos<\/li>\n<li><strong>TecnoCreep<\/strong> &#8211; puerta trasera AC# que se comunica con el servidor C2 a trav\u00e9s de sockets TCP para ejecutar comandos y filtrar datos<\/li>\n<li><strong>PapaCreep<\/strong> &#8211; Una puerta trasera C++ que puede recibir y ejecutar comandos desde un servidor remoto a trav\u00e9s de sockets TCP<\/li>\n<\/ul>\n<p>PapaCreep, detectado recientemente en septiembre de 2022, es un malware modular que contiene cuatro componentes diferentes que est\u00e1n dise\u00f1ados para ejecutar comandos, recibir y enviar comandos y sus resultados, y cargar y descargar archivos.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La seguridad cibern\u00e9tica\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Adolescente-de-19-anos-arrestado-por-usar-datos-filtrados-de.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>La firma de ciberseguridad eslovaca dijo que tambi\u00e9n descubri\u00f3 varios otros m\u00f3dulos responsables de registrar las pulsaciones de teclas, capturar capturas de pantalla, tomar fotos a trav\u00e9s de la c\u00e1mara web y establecer un caparaz\u00f3n inverso en la m\u00e1quina comprometida.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Hackers de polonio\" border=\"0\" data-original-height=\"656\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1665699493_814_Investigadores-descubren-puertas-traseras-personalizadas-y-herramientas-de-espionaje-utilizadas.jpg\" title=\"Hackers de polonio\" \/><\/div>\n<p>A pesar de la abundancia de malware utilizado en los ataques, actualmente se desconoce el vector de acceso inicial utilizado para violar las redes, aunque se sospecha que puede haber implicado la explotaci\u00f3n de fallas de VPN.<\/p>\n<p>&#8220;La mayor\u00eda de los m\u00f3dulos maliciosos del grupo son peque\u00f1os, con funcionalidad limitada&#8221;, Porolli <a rel=\"nofollow noopener\" href=\"https:\/\/www.eset.com\/int\/about\/newsroom\/press-releases\/research\/iran-affiliated-apt-group-polonium-targets-israel-with-creepy-backdoors-and-abuses-popular-cloud-ser\/\" target=\"_blank\">dijo<\/a>.  &#8220;Les gusta dividir el c\u00f3digo en sus puertas traseras, distribuyendo la funcionalidad maliciosa en varias DLL peque\u00f1as, tal vez esperando que los defensores o investigadores no observen la cadena de ataque completa&#8221;.<\/p>\n<\/div>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/researchers-uncover-custom-backdoors.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un actor de amenazas rastreado como Polonium se ha relacionado con m\u00e1s de una docena de ataques altamente<\/p>\n","protected":false},"author":1,"featured_media":423357,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,6073,10315,4662,11109,6214,12583,4668,4667,36,4654,4658,4659,4653,4655,24017,6213,116978,231,4663,66,4666,4665,50975,21715,4660],"class_list":["post-423356","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-descubren","tag-espionaje","tag-filtracion-de-datos","tag-herramientas","tag-informaticos","tag-investigadores","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-personalizadas","tag-piratas","tag-polonium","tag-por","tag-programa-malicioso-ransomware","tag-puertas","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-traseras","tag-utilizadas","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/423356","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=423356"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/423356\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/423357"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=423356"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=423356"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=423356"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}