{"id":480941,"date":"2022-11-17T20:07:20","date_gmt":"2022-11-17T20:07:20","guid":{"rendered":"https:\/\/teknomers.com\/es\/piratas-informaticos-iranies-comprometieron-la-red-de-una-agencia-federal-de-ee-uu-utilizando-el-exploit-log4shell\/"},"modified":"2022-11-17T20:07:23","modified_gmt":"2022-11-17T20:07:23","slug":"piratas-informaticos-iranies-comprometieron-la-red-de-una-agencia-federal-de-ee-uu-utilizando-el-exploit-log4shell","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/piratas-informaticos-iranies-comprometieron-la-red-de-una-agencia-federal-de-ee-uu-utilizando-el-exploit-log4shell\/","title":{"rendered":"Piratas inform\u00e1ticos iran\u00edes comprometieron la red de una agencia federal de EE. UU. utilizando el exploit Log4Shell"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Se culp\u00f3 a los actores de amenazas patrocinados por el gobierno iran\u00ed por comprometer a una agencia federal de EE. UU. al aprovechar la vulnerabilidad Log4Shell en un servidor VMware Horizon sin parches.<\/p>\n<p>Los detalles, que fueron compartidos por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), surgen en respuesta a los esfuerzos de respuesta a incidentes realizados por la autoridad desde mediados de junio hasta mediados de julio de 2022.<\/p>\n<p>&#8220;Los actores de amenazas cibern\u00e9ticas explotaron la vulnerabilidad de Log4Shell en un servidor VMware Horizon sin parches, instalaron el software de criptominer\u00eda XMRig, se movieron lateralmente al controlador de dominio (DC), comprometieron las credenciales y luego implantaron proxies inversos Ngrok en varios hosts para mantener la persistencia&#8221;, CISA <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/alerts\/aa22-320a\" target=\"_blank\">se\u00f1alado<\/a>.<\/p>\n<p>LogShell, tambi\u00e9n conocido como CVE-2021-44228, es una falla cr\u00edtica de ejecuci\u00f3n remota de c\u00f3digo en la biblioteca de registro basada en Java Apache Log4j ampliamente utilizada.  Fue abordado por los mantenedores del proyecto de c\u00f3digo abierto en diciembre de 2021.<\/p>\n<p>El \u00faltimo desarrollo marca el abuso continuo de las vulnerabilidades de Log4j en los servidores VMware Horizon por parte de grupos patrocinados por el estado iran\u00ed desde principios de a\u00f1o.  CISA no atribuy\u00f3 el evento a un grupo de hackers en particular.<\/p>\n<p>Sin embargo, un aviso conjunto publicado por Australia, Canad\u00e1, el Reino Unido y los EE. UU. en septiembre de 2022 se\u00f1al\u00f3 al Cuerpo de la Guardia Revolucionaria Isl\u00e1mica (IRGC) de Ir\u00e1n por aprovechar la deficiencia para llevar a cabo actividades posteriores a la explotaci\u00f3n.<\/p>\n<p>Se cree que la organizaci\u00f3n afectada, seg\u00fan CISA, fue violada ya en febrero de 2022 al utilizar la vulnerabilidad como arma para agregar una nueva regla de exclusi\u00f3n a Windows Defender que incluy\u00f3 en la lista de permitidos todo el disco C:.<\/p>\n<p>Al hacerlo, el adversario pudo descargar un script de PowerShell sin activar ning\u00fan an\u00e1lisis antivirus que, a su vez, recuper\u00f3 el <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/analysis-reports\/ar22-320a\" target=\"_blank\">XMRig<\/a> software de miner\u00eda de criptomonedas alojado en un servidor remoto en forma de archivo ZIP.<\/p>\n<p>El acceso inicial permiti\u00f3 adem\u00e1s a los actores obtener m\u00e1s cargas \u00fatiles, como <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/software\/S0029\/\" target=\"_blank\">PsExec<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/software\/S0002\/\" target=\"_blank\">Mimikatz<\/a>y <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/software\/S0508\/\" target=\"_blank\">Ngrok<\/a>adem\u00e1s de usar <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1021\/001\/\" target=\"_blank\">PDR<\/a> para el movimiento lateral y deshabilitar Windows Defender en los puntos finales.<\/p>\n<p>&#8220;Los actores de amenazas tambi\u00e9n cambiaron la contrase\u00f1a de la cuenta de administrador local en varios hosts como una copia de seguridad en caso de que la cuenta de administrador de dominio deshonesto fuera detectada y cancelada&#8221;, se\u00f1al\u00f3 CISA.<\/p>\n<p>Tambi\u00e9n se detect\u00f3 un intento fallido de volcar el proceso del Servicio de subsistema de autoridad de seguridad local (LSASS) mediante el Administrador de tareas de Windows, que fue bloqueado por la soluci\u00f3n antivirus implementada en el entorno de TI.<\/p>\n<p>Microsoft, en un informe del mes pasado, revel\u00f3 que los ciberdelincuentes apuntan a las credenciales en el proceso LSASS debido al hecho de que &#8220;puede almacenar no solo las credenciales del sistema operativo de un usuario actual, sino tambi\u00e9n las de un administrador de dominio&#8221;.<\/p>\n<p>&#8220;Descargar las credenciales de LSASS es importante para los atacantes porque si descargan con \u00e9xito las contrase\u00f1as de dominio, pueden, por ejemplo, usar herramientas leg\u00edtimas como PsExec o Windows Management Instrumentation (WMI) para moverse lateralmente a trav\u00e9s de la red&#8221;, dijo el gigante tecnol\u00f3gico. <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2022\/10\/05\/detecting-and-preventing-lsass-credential-dumping-attacks\/\" target=\"_blank\">dijo<\/a>.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/iranian-hackers-compromised-us-federal.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se culp\u00f3 a los actores de amenazas patrocinados por el gobierno iran\u00ed por comprometer a una agencia federal<\/p>\n","protected":false},"author":1,"featured_media":480942,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2336,4661,4664,9960,23323,763,4662,6214,10364,4668,4667,40848,4654,4658,4659,4653,4655,6213,4663,2770,4666,4665,158,9413,4660],"class_list":["post-480941","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-agencia","tag-ataques-ciberneticos","tag-como-hackear","tag-comprometieron","tag-exploit","tag-federal","tag-filtracion-de-datos","tag-informaticos","tag-iranies","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-log4shell","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-piratas","tag-programa-malicioso-ransomware","tag-red","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-una","tag-utilizando","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/480941","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=480941"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/480941\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/480942"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=480941"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=480941"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=480941"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}