Un actor de amenazas previamente indocumentado apodado yorotrooper<\/strong> ha estado apuntando a organizaciones gubernamentales, energ\u00e9ticas e internacionales en toda Europa como parte de una campa\u00f1a de ciberespionaje que ha estado activa desde al menos junio de 2022.<\/p>\n “La informaci\u00f3n robada de compromisos exitosos incluye credenciales de m\u00faltiples aplicaciones, historiales de navegaci\u00f3n y cookies, informaci\u00f3n del sistema y capturas de pantalla”, los investigadores de Cisco Talos, Asheer Malhotra y Vitor Ventura. dicho<\/a> en un an\u00e1lisis del martes.<\/p>\n Entre los pa\u00edses destacados a los que se dirigen se incluyen Azerbaiy\u00e1n, Tayikist\u00e1n, Kirguist\u00e1n, Turkmenist\u00e1n y otras naciones de la Comunidad de Estados Independientes (CEI).<\/p>\n Se cree que el actor de amenazas habla ruso debido a los patrones de victimolog\u00eda y la presencia de fragmentos cir\u00edlicos en algunos de los implantes.<\/p>\n Dicho esto, se ha descubierto que el conjunto de intrusi\u00f3n YoroTrooper exhibe superposiciones t\u00e1cticas con el equipo PoetaRAT<\/a> que se document\u00f3 en 2020 como un aprovechamiento de los cebos con el tema del coronavirus para atacar a los sectores gubernamentales y energ\u00e9ticos en Azerbaiy\u00e1n.<\/p>\n Los objetivos de recopilaci\u00f3n de datos de YoroTrooper se logran a trav\u00e9s de una combinaci\u00f3n de malware de ladr\u00f3n de c\u00f3digo abierto y de productos b\u00e1sicos, como AVE Mar\u00eda<\/a> (tambi\u00e9n conocido como Warzone RAT), LodaRAT, Meterpreter y Hedor<\/a>con cadenas de infecci\u00f3n que utilizan archivos de acceso directo maliciosos (LNK) y documentos se\u00f1uelo envueltos en archivos ZIP o RAR que se propagan a trav\u00e9s de spear-phishing.<\/p>\n Los archivos LNK funcionan como simples descargadores para ejecutar un archivo HTA<\/a> recuperado de un servidor remoto, que luego se usa para mostrar un documento PDF de se\u00f1uelo, mientras se lanza sigilosamente un cuentagotas para entregar un ladr\u00f3n personalizado que usa Telegram como un canal de exfiltraci\u00f3n.<\/p>\n Descubra los peligros ocultos de las aplicaciones SaaS de terceros<\/p>\n \u00bfConoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? \u00danase a nuestro seminario web para conocer los tipos de permisos que se otorgan y c\u00f3mo minimizar el riesgo.<\/p>\n RESERVA TU ASIENTO<\/a><\/div>\n El uso de LodaRAT es notable ya que indica que el malware est\u00e1 siendo empleado por m\u00faltiples operadores a pesar de su atribuci\u00f3n a otro grupo llamado Kasablanka, que tambi\u00e9n se ha observado. repartiendo Ave Mar\u00eda<\/a> en campa\u00f1as recientes dirigidas a Rusia.<\/p>\n Otras herramientas auxiliares implementadas por YoroTrooper consisten en shells inversos y un registrador de teclas personalizado basado en C que es capaz de registrar las pulsaciones de teclas y guardarlas en un archivo en el disco.<\/p>\n “Vale la pena se\u00f1alar que, si bien esta campa\u00f1a comenz\u00f3 con la distribuci\u00f3n de malware b\u00e1sico como Ave Maria y LodaRAT, ha evolucionado significativamente para incluir malware basado en Python”, dijeron los investigadores.<\/p>\n “Esto destaca un aumento en los esfuerzos que est\u00e1 realizando el actor de amenazas, probablemente derivado de infracciones exitosas durante el curso de la campa\u00f1a”.<\/p>\n <\/p>\n![\"yorotrooper\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/03\/1678896746_864_YoroTrooper-robando-credenciales-e-informacion-de-organizaciones-gubernamentales-y-energeticas.png\" "\\"yorotrooper\\"\/")
<\/div>\n