Las entidades gubernamentales en Ucrania han sido violadas como parte de una nueva campa\u00f1a que aprovech\u00f3 las versiones troyanizadas de los archivos de instalaci\u00f3n de Windows 10 para realizar actividades posteriores a la explotaci\u00f3n.<\/p>\n
Mandiant, que descubri\u00f3 el ataque a la cadena de suministro a mediados de julio de 2022, dijo que los archivos ISO maliciosos se distribuyeron a trav\u00e9s de sitios web de Torrent en ucraniano y ruso. Est\u00e1 rastreando el grupo de amenazas como UNC4166<\/strong>.<\/p>\n “Tras la instalaci\u00f3n del software comprometido, el malware recopila informaci\u00f3n sobre el sistema comprometido y lo extrae”, dice la compa\u00f1\u00eda de ciberseguridad. dijo<\/a> en una inmersi\u00f3n t\u00e9cnica profunda publicada el jueves.<\/p>\n Aunque se desconoce la procedencia del colectivo adversario, se dice que las intrusiones se dirigieron a organizaciones que anteriormente fueron v\u00edctimas de ataques disruptivos de limpiaparabrisas atribuidos a APT28, un actor patrocinado por el estado ruso.<\/p>\n El archivo ISO, seg\u00fan la firma de inteligencia de amenazas propiedad de Google, fue dise\u00f1ado para deshabilitar la transmisi\u00f3n de datos de telemetr\u00eda desde la computadora infectada a Microsoft, instalar puertas traseras de PowerShell, as\u00ed como bloquear actualizaciones autom\u00e1ticas y verificaci\u00f3n de licencia.<\/p>\n El objetivo principal de la operaci\u00f3n parece haber sido la recopilaci\u00f3n de informaci\u00f3n, con implantes adicionales desplegados en las m\u00e1quinas, pero solo despu\u00e9s de realizar un reconocimiento inicial del entorno comprometido para determinar si contiene la inteligencia de valor.<\/p>\n Estos incluidos Poliz\u00f3n<\/a>una herramienta proxy de c\u00f3digo abierto, Cobalt Strike Beacon y SPAREPART, una puerta trasera liviana programada en C, que permite al actor de amenazas ejecutar comandos, recopilar datos, capturar pulsaciones de teclas y capturas de pantalla, y exportar la informaci\u00f3n a un servidor remoto.<\/p>\n En algunos casos, el adversario intent\u00f3 descargar el navegador de anonimato TOR en el dispositivo de la v\u00edctima. Si bien la raz\u00f3n exacta de esta acci\u00f3n no est\u00e1 clara, se sospecha que pudo haber servido como una ruta de exfiltraci\u00f3n alternativa.<\/p>\n SPAREPART, como su nombre lo indica, se considera un malware redundante implementado para mantener el acceso remoto al sistema en caso de que los otros m\u00e9todos fallen. Tambi\u00e9n es funcionalmente id\u00e9ntico a las puertas traseras de PowerShell lanzadas al principio de la cadena de ataque.<\/p>\n “El uso de ISO con troyanos es novedoso en las operaciones de espionaje y las capacidades anti-detecci\u00f3n incluidas indican que los actores detr\u00e1s de esta actividad son conscientes de la seguridad y pacientes, ya que la operaci\u00f3n habr\u00eda requerido un tiempo y recursos significativos para desarrollar y esperar a que el ISO sea instalado en una red de inter\u00e9s”, dijo Mandiant.<\/p>\n Los hallazgos vienen como punto de control<\/a> y Tecnolog\u00edas positivas<\/a> ataques revelados organizados por un grupo de espionaje denominado Atlas de nubes<\/strong> contra el sector gubernamental en Rusia, Bielorrusia, Azerbaiy\u00e1n, Turqu\u00eda y Eslovenia como parte de una campa\u00f1a persistente.<\/p>\n El equipo de pirater\u00eda, activo desde 2014, tiene un historial de ataques a entidades en Europa del Este y Asia Central. Pero desde el estallido de la guerra ruso-ucraniana, se ha observado que se dirige principalmente a entidades en Rusia, Bielorrusia y Transnistria.<\/p>\n “Los actores tambi\u00e9n mantienen su enfoque en las regiones de la Pen\u00ednsula de Crimea, Lugansk y Donetsk anexadas por Rusia”, dijo Check Point en un an\u00e1lisis la semana pasada.<\/p>\n Atlas de nubes<\/a>tambi\u00e9n llamado Clean Ursa, Inception y Oxygen, permanece sin atribuir<\/a> hasta la fecha, uni\u00e9ndose a otros APT como TajMahal, DarkUniverse y Metador. El grupo recibe su nombre por su dependencia de los servicios en la nube como OpenDrive para alojar malware y para comando y control (C2).<\/p>\n Las cadenas de ataque orquestadas por el adversario generalmente utilizan correos electr\u00f3nicos de phishing que contienen archivos adjuntos de se\u00f1uelos como el vector de intrusi\u00f3n inicial, lo que finalmente conduce a la entrega de una carga \u00fatil maliciosa a trav\u00e9s de una intrincada secuencia de varias etapas.<\/p>\n Luego, el malware procede a iniciar el contacto con un servidor C2 controlado por un actor para recuperar puertas traseras adicionales capaces de robar archivos con extensiones espec\u00edficas de los puntos finales violados.<\/p>\n Los ataques observados por Check Point, por otro lado, culminan en una puerta trasera basada en PowerShell llamada PowerShower, que fue documentado por primera vez<\/a> por Palo Alto Networks Unit 42 en noviembre de 2018.<\/p>\n Algunas de estas intrusiones en junio de 2022 tambi\u00e9n resultaron ser exitosas, lo que permiti\u00f3 al actor de amenazas obtener acceso total a la red y usar herramientas como Chocolatey, AnyDesk y PuTTY para profundizar su posici\u00f3n.<\/p>\n “Con la escalada del conflicto entre Rusia y Ucrania, su atenci\u00f3n durante el \u00faltimo a\u00f1o ha estado en Rusia y Bielorrusia y sus sectores diplom\u00e1tico, gubernamental, energ\u00e9tico y tecnol\u00f3gico, y en las regiones anexadas de Ucrania”, agreg\u00f3 Check Point.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/Google-lanza-la-mayor-base-de-datos-distribuida-de-vulnerabilidades.png\")
<\/a><\/center><\/div>\n![\"Instalador](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/1671206183_298_Instalador-troyano-de-Windows-10-utilizado-en-ataques-ciberneticos-contra.png\" "\\"Instalador")
<\/div>\nCloud Atlas ataca a Rusia y Bielorrusia<\/h3>\n
![\"Instalador](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/1671206184_313_Instalador-troyano-de-Windows-10-utilizado-en-ataques-ciberneticos-contra.png\" "\\"Instalador")
<\/div>\n