{"id":629361,"date":"2023-02-17T02:10:26","date_gmt":"2023-02-17T02:10:26","guid":{"rendered":"https:\/\/teknomers.com\/es\/nuevo-actor-de-amenazas-wip26-dirigido-a-proveedores-de-servicios-de-telecomunicaciones-en-el-medio-oriente\/"},"modified":"2023-02-17T02:10:28","modified_gmt":"2023-02-17T02:10:28","slug":"nuevo-actor-de-amenazas-wip26-dirigido-a-proveedores-de-servicios-de-telecomunicaciones-en-el-medio-oriente","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nuevo-actor-de-amenazas-wip26-dirigido-a-proveedores-de-servicios-de-telecomunicaciones-en-el-medio-oriente\/","title":{"rendered":"Nuevo actor de amenazas WIP26 dirigido a proveedores de servicios de telecomunicaciones en el Medio Oriente"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">16 de febrero de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Seguridad en la nube\/amenaza cibern\u00e9tica<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Los proveedores de servicios de telecomunicaciones en el Medio Oriente est\u00e1n siendo atacados por un actor de amenazas previamente indocumentado como parte de una supuesta misi\u00f3n de recopilaci\u00f3n de inteligencia.<\/p>\n<p>Las firmas de ciberseguridad SentinelOne y QGroup est\u00e1n rastreando el grupo de actividades bajo el nombre de trabajo en progreso del primero. <strong>WIP26<\/strong>.<\/p>\n<p>&#8220;WIP26 depende en gran medida de la infraestructura de la nube p\u00fablica en un intento de evadir la detecci\u00f3n al hacer que el tr\u00e1fico malicioso parezca leg\u00edtimo&#8221;, los investigadores Aleksandar Milenkoski, Collin Farr y Joey Chen. <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/wip26-espionage-threat-actors-abuse-cloud-infrastructure-in-targeted-telco-attacks\/\" target=\"_blank\">dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n<p>Esto incluye el uso indebido de Microsoft 365 Mail, Azure, Google Firebase y Dropbox para la entrega de malware, la exfiltraci\u00f3n de datos y el comando y control (C2).<\/p>\n<p>El vector de intrusi\u00f3n inicial utilizado en los ataques implica &#8220;focalizar con precisi\u00f3n&#8221; a los empleados a trav\u00e9s de mensajes de WhatsApp que contienen enlaces a enlaces de Dropbox a archivos supuestamente benignos.<\/p>\n<p>Los archivos, en realidad, albergan un cargador de malware cuya caracter\u00edstica principal es implementar puertas traseras personalizadas basadas en .NET, como CMD365 o CMDEmber, que aprovechan Microsoft 365 Mail y Google Firebase para C2.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/02\/1676599826_628_Nuevo-actor-de-amenazas-WIP26-dirigido-a-proveedores-de-servicios.png\" alt=\"espionaje cibern\u00e9tico\" border=\"0\" data-original-height=\"568\" data-original-width=\"728\" title=\"espionaje cibern\u00e9tico\"\/><\/div>\n<p>&#8220;La funcionalidad principal de CMD365 y CMDEmber es ejecutar los comandos del sistema proporcionados por el atacante utilizando el int\u00e9rprete de comandos de Windows&#8221;, dijeron los investigadores.  &#8220;Esta capacidad se us\u00f3 para realizar una variedad de actividades, como reconocimiento, escalada de privilegios, puesta en escena de malware adicional y exfiltraci\u00f3n de datos&#8221;.<\/p>\n<p>CMD365, por su parte, funciona escaneando la carpeta de la bandeja de entrada en busca de correos electr\u00f3nicos espec\u00edficos que comiencen con la l\u00ednea de asunto &#8220;entrada&#8221; para extraer los comandos C2 para su ejecuci\u00f3n en los hosts infectados.  CMDEmber, por otro lado, env\u00eda y recibe datos del servidor C2 mediante la emisi\u00f3n de solicitudes HTTP.<\/p>\n<p>La transmisi\u00f3n de los datos, que comprende la informaci\u00f3n del navegador web privado de los usuarios y los detalles sobre los hosts de alto valor en la red de la v\u00edctima, a instancias de Azure controladas por actores se organiza mediante comandos de PowerShell.<\/p>\n<p>El abuso de los servicios en la nube para fines nefastos no es desconocido, y la \u00faltima campa\u00f1a de WIP26 indica intentos continuos por parte de los actores de amenazas para evadir la detecci\u00f3n.<\/p>\n<p>Esta no es la primera vez que los proveedores de telecomunicaciones en el Medio Oriente est\u00e1n bajo el radar de los grupos de espionaje.  En diciembre de 2022, Bitdefender revel\u00f3 detalles de una operaci\u00f3n denominada <strong>Diplomacia de puerta trasera<\/strong> dirigido a una empresa de telecomunicaciones de la regi\u00f3n para desviar datos valiosos.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/02\/new-threat-actor-wip26-targeting.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80216 de febrero de 2023\ue804Ravie Lakshman\u00e1nSeguridad en la nube\/amenaza cibern\u00e9tica Los proveedores de servicios de telecomunicaciones en el<\/p>\n","protected":false},"author":1,"featured_media":629362,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[1702,4657,4656,8898,4661,4664,4671,4662,4668,4667,2508,4654,4658,4659,4653,4655,480,7999,4663,4052,4666,4665,2204,34366,4660,147038],"class_list":["post-629361","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actor","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-amenazas","tag-ataques-ciberneticos","tag-como-hackear","tag-dirigido","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-medio","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevo","tag-oriente","tag-programa-malicioso-ransomware","tag-proveedores","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-servicios","tag-telecomunicaciones","tag-vulnerabilidad-de-software","tag-wip26"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/629361","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=629361"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/629361\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/629362"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=629361"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=629361"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=629361"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}