{"id":563850,"date":"2023-01-08T07:44:21","date_gmt":"2023-01-08T07:44:21","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-rusos-de-turla-secuestran-infraestructura-de-malware-de-una-decada-de-antiguedad-para-implementar-nuevas-puertas-traseras\/"},"modified":"2023-01-08T07:44:22","modified_gmt":"2023-01-08T07:44:22","slug":"hackers-rusos-de-turla-secuestran-infraestructura-de-malware-de-una-decada-de-antiguedad-para-implementar-nuevas-puertas-traseras","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-rusos-de-turla-secuestran-infraestructura-de-malware-de-una-decada-de-antiguedad-para-implementar-nuevas-puertas-traseras\/","title":{"rendered":"Hackers rusos de Turla secuestran infraestructura de malware de una d\u00e9cada de antig\u00fcedad para implementar nuevas puertas traseras"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">08 de enero de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Ciberespionaje \/ An\u00e1lisis de amenazas<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>El grupo ruso de ciberespionaje conocido como <b>turla<\/b> se ha observado aprovechando la infraestructura de ataque utilizada por un malware de hace una d\u00e9cada para entregar sus propias herramientas de reconocimiento y puerta trasera a objetivos en Ucrania.<\/p>\n<p>Mandiant, propiedad de Google, que est\u00e1 rastreando la operaci\u00f3n bajo el nombre de cl\u00faster no categorizado <strong>UNC4210<\/strong>dijo que los servidores secuestrados corresponden a una variante de un malware b\u00e1sico llamado ANDROMEDA (tambi\u00e9n conocido como Gamarue) que se subi\u00f3 a VirusTotal en 2013.<\/p>\n<p>&#8220;UNC4210 volvi\u00f3 a registrar al menos tres dominios de comando y control (C2) ANDROMEDA vencidos y comenz\u00f3 a perfilar v\u00edctimas para implementar selectivamente KOPILUWAK y QUIETCANARY en septiembre de 2022&#8221;, investigadores de Mandiant <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/turla-galaxy-opportunity\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis publicado la semana pasada.<\/p>\n<p>Turla, tambi\u00e9n conocido con los nombres de Iron Hunter, Krypton, Uroburos, Venomous Bear y Waterbug, es un equipo de \u00e9lite de un estado-naci\u00f3n que se dirige principalmente a organizaciones gubernamentales, diplom\u00e1ticas y militares que utilizan un gran conjunto de malware personalizado.<\/p>\n<p>Desde el inicio de la invasi\u00f3n militar rusa de Ucrania en febrero de 2022, el colectivo adversario ha estado vinculado a una serie de esfuerzos de reconocimiento y phishing de credenciales dirigidos a entidades ubicadas en el pa\u00eds.<\/p>\n<p>En julio de 2022, el Grupo de an\u00e1lisis de amenazas (TAG) de Google revel\u00f3 que Turla cre\u00f3 una aplicaci\u00f3n de Android maliciosa para supuestamente &#8220;ayudar&#8221; a los hacktivistas pro-ucranianos a lanzar ataques de denegaci\u00f3n de servicio distribuido (DDoS) contra sitios rusos.<\/p>\n<p>El \u00faltimo descubrimiento de Mandiant muestra que Turla ha estado cooptando sigilosamente infecciones antiguas como mecanismo de distribuci\u00f3n de malware, sin mencionar el hecho de que ANDROMEDA se propaga a trav\u00e9s de llaves USB infectadas.<\/p>\n<p>&#8220;El malware que se propaga por USB sigue siendo un vector \u00fatil para obtener acceso inicial a las organizaciones&#8221;, dijo la firma de inteligencia de amenazas.<\/p>\n<p>En el incidente analizado por Mandiant, se dice que se insert\u00f3 una memoria USB infectada en una organizaci\u00f3n ucraniana no identificada en diciembre de 2021, lo que finalmente condujo al despliegue de un <a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/9535a9bb1ae8f620d7cbd7d9f5c20336b0fd2c78d1a7d892d76e4652dd8b2be7\/details\" target=\"_blank\">artefacto heredado de ANDROMEDA<\/a> en el host al iniciar un archivo de enlace malicioso (.LNK) que se hace pasar por una carpeta dentro de la unidad USB.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/01\/1673163861_899_Hackers-rusos-de-Turla-secuestran-infraestructura-de-malware-de-una.png\" alt=\"\" border=\"0\" data-original-height=\"290\" data-original-width=\"728\"\/><\/div>\n<p>Luego, el actor de amenazas reutiliz\u00f3 uno de los dominios inactivos que formaban parte de la infraestructura C2 extinta de ANDROMEDA, que volvi\u00f3 a registrar en enero de 2022, para perfilar a la v\u00edctima al entregar la primera etapa. <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/kopiluwak-a-new-javascript-payload-from-turla\/77429\/\" target=\"_blank\">KOPILUWAK<\/a> cuentagotas, una utilidad de reconocimiento de red basada en JavaScript.<\/p>\n<p>Dos d\u00edas despu\u00e9s, el 8 de septiembre de 2022, el ataque pas\u00f3 a la fase final con la ejecuci\u00f3n de un implante basado en .NET denominado QUIETCANARY (tambi\u00e9n conocido como <a rel=\"nofollow noopener\" href=\"https:\/\/www.kaspersky.com\/about\/press-releases\/2019_the-garden-of-forking-paths-sophisticated-apts-diversify-toolsets\" target=\"_blank\">Tunnus<\/a>), lo que resulta en la exfiltraci\u00f3n de archivos creados despu\u00e9s del 1 de enero de 2021.<\/p>\n<p>El oficio empleado por Turla encaja con los informes anteriores de los extensos esfuerzos de perfilado de v\u00edctimas del grupo que coincidieron con la guerra ruso-ucraniana, lo que podr\u00eda ayudarlo a adaptar sus esfuerzos de explotaci\u00f3n posteriores para recopilar la informaci\u00f3n de inter\u00e9s para Rusia.<\/p>\n<p>Tambi\u00e9n es uno de los raros casos en los que se ha identificado una unidad de pirater\u00eda dirigida a las v\u00edctimas de una campa\u00f1a de malware diferente para cumplir sus propios objetivos estrat\u00e9gicos, al mismo tiempo que oscurece su funci\u00f3n.<\/p>\n<p>&#8220;A medida que el malware ANDROMEDA m\u00e1s antiguo contin\u00faa propag\u00e1ndose desde dispositivos USB comprometidos, estos dominios registrados nuevamente representan un riesgo ya que los nuevos actores de amenazas pueden tomar el control y entregar nuevo malware a las v\u00edctimas&#8221;, dijeron los investigadores.<\/p>\n<p>&#8220;Esta t\u00e9cnica novedosa de reclamar dominios caducados utilizados por malware de amplia distribuci\u00f3n y motivado financieramente puede permitir compromisos de seguimiento en una amplia gama de entidades. Adem\u00e1s, es m\u00e1s probable que los defensores pasen por alto el malware y la infraestructura m\u00e1s antiguos al clasificar una amplia variedad de alertas. .&#8221;<\/p>\n<h3>COLDRIVER apunta a los laboratorios de investigaci\u00f3n nuclear de EE. UU.<\/h3>\n<p>Los hallazgos tambi\u00e9n aparecen como Reuters <a rel=\"nofollow noopener\" href=\"https:\/\/www.reuters.com\/world\/europe\/russian-hackers-targeted-us-nuclear-scientists-2023-01-06\/\" target=\"_blank\">reportado<\/a> que otro grupo de amenazas patrocinado por el estado ruso con nombre en c\u00f3digo COLDRIVER (tambi\u00e9n conocido como Callisto o SEABORGIUM) apunt\u00f3 a tres laboratorios de investigaci\u00f3n nuclear en los EE. UU. a principios de 2022.<\/p>\n<p>Con ese fin, los ataques digitales implicaron la creaci\u00f3n de p\u00e1ginas de inicio de sesi\u00f3n falsas para los Laboratorios Nacionales Brookhaven, Argonne y Lawrence Livermore en un intento de enga\u00f1ar a los cient\u00edficos nucleares para que revelaran sus contrase\u00f1as.<\/p>\n<p>Las t\u00e1cticas son consistentes con la actividad conocida de COLDRIVER, que recientemente se desenmascar\u00f3 falsificando las p\u00e1ginas de inicio de sesi\u00f3n de empresas de consultor\u00eda de defensa e inteligencia, as\u00ed como de ONG, grupos de expertos y entidades de educaci\u00f3n superior en el Reino Unido y los EE. UU.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/russian-turla-hackers-hijack-decade-old.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80208 de enero de 2023\ue804Ravie Lakshman\u00e1nCiberespionaje \/ An\u00e1lisis de amenazas El grupo ruso de ciberespionaje conocido como turla<\/p>\n","protected":false},"author":1,"featured_media":563851,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,33987,4661,4664,11315,4662,6369,32935,4510,4668,4667,4669,4654,4658,4659,4653,4655,2498,18,4663,66,690,25909,4666,4665,50975,42530,158,4660],"class_list":["post-563850","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-antiguedad","tag-ataques-ciberneticos","tag-como-hackear","tag-decada","tag-filtracion-de-datos","tag-hackers","tag-implementar","tag-infraestructura","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevas","tag-para","tag-programa-malicioso-ransomware","tag-puertas","tag-rusos","tag-secuestran","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-traseras","tag-turla","tag-una","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/563850","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=563850"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/563850\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/563851"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=563850"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=563850"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=563850"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}