{"id":720945,"date":"2023-04-24T15:19:30","date_gmt":"2023-04-24T15:19:30","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-rusos-tomiris-apuntan-a-asia-central-para-la-recopilacion-de-inteligencia\/"},"modified":"2023-04-24T15:19:33","modified_gmt":"2023-04-24T15:19:33","slug":"los-piratas-informaticos-rusos-tomiris-apuntan-a-asia-central-para-la-recopilacion-de-inteligencia","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-rusos-tomiris-apuntan-a-asia-central-para-la-recopilacion-de-inteligencia\/","title":{"rendered":"Los piratas inform\u00e1ticos rusos Tomiris apuntan a Asia Central para la recopilaci\u00f3n de inteligencia"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">24 de abril de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Espionaje cibern\u00e9tico<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>El actor de amenazas de habla rusa detr\u00e1s de una puerta trasera conocida como Tomiris se centra principalmente en recopilar inteligencia en Asia Central, revelan nuevos hallazgos de Kaspersky.<\/p>\n<p>&#8220;El final del juego de Tomiris parece ser constantemente el robo regular de documentos internos&#8221;, los investigadores de seguridad Pierre Delcher e Ivan Kwiatkowski. <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/tomiris-called-they-want-their-turla-malware-back\/109552\/\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis publicado hoy.  &#8220;El actor de amenazas apunta a entidades gubernamentales y diplom\u00e1ticas en la CEI&#8221;.<\/p>\n<p>La \u00faltima evaluaci\u00f3n de la firma rusa de ciberseguridad se basa en tres nuevas campa\u00f1as de ataque montadas por el equipo de pirater\u00eda entre 2021 y 2023.<\/p>\n<p>Tomiris sali\u00f3 a la luz por primera vez en septiembre de 2021 cuando Kaspersky destac\u00f3 sus posibles conexiones con Nobelium (tambi\u00e9n conocido como APT29, Cozy Bear o Midnight Blizzard), el grupo de estado-naci\u00f3n ruso detr\u00e1s del ataque a la cadena de suministro de SolarWinds.<\/p>\n<p>Tambi\u00e9n se han descubierto similitudes entre la puerta trasera y otra variedad de malware denominada Kazuar, que se atribuye al grupo Turla (tambi\u00e9n conocido como Krypton, Secret Blizzard, Venomous Bear o Uroburos).<\/p>\n<p>Los ataques de phishing dirigidos por el grupo han aprovechado un &#8220;conjunto de herramientas pol\u00edglotas&#8221; que comprende una variedad de implantes &#8220;quemadores&#8221; de baja sofisticaci\u00f3n que est\u00e1n codificados en diferentes lenguajes de programaci\u00f3n y se implementan repetidamente contra los mismos objetivos.<\/p>\n<p>Adem\u00e1s de utilizar herramientas ofensivas de c\u00f3digo abierto o disponibles comercialmente, el arsenal de malware personalizado utilizado por el grupo se clasifica en una de las tres categor\u00edas: descargadores, puertas traseras y ladrones de informaci\u00f3n:<\/p>\n<ul>\n<li><strong>Telemiris<\/strong> &#8211; Una puerta trasera de Python que usa Telegram como un canal de comando y control (C2).<\/li>\n<li><strong>Roopy<\/strong> &#8211; Un ladr\u00f3n de archivos basado en Pascal que est\u00e1 dise\u00f1ado para aspirar archivos de inter\u00e9s cada 40-80 minutos y filtrarlos a un servidor remoto.<\/li>\n<li><strong>JLORAT<\/strong> &#8211; Un ladr\u00f3n de archivos escrito en Rust que recopila informaci\u00f3n del sistema, ejecuta comandos emitidos por el servidor C2, carga y descarga archivos y captura capturas de pantalla.<\/li>\n<\/ul>\n<p>La investigaci\u00f3n de Kaspersky sobre los ataques ha identificado adem\u00e1s superposiciones con un cl\u00faster de Turla rastreado por Mandiant, propiedad de Google, con el nombre UNC4210, y ha descubierto que el implante QUIETCANARY (tambi\u00e9n conocido como TunnusSched) se hab\u00eda desplegado contra un objetivo del gobierno en la CEI por medio de Telemiris.<\/p>\n<p>&#8220;M\u00e1s precisamente, el 13 de septiembre de 2022, alrededor de las 05:40 UTC, un operador intent\u00f3 implementar varios implantes Tomiris conocidos a trav\u00e9s de Telemiris: primero un cargador Python Meterpreter, luego JLORAT y Roopy&#8221;, explicaron los investigadores.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust.  \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Guardar mi asiento!<\/a><\/div>\n<p>&#8220;Estos esfuerzos fueron frustrados por productos de seguridad, lo que llev\u00f3 al atacante a realizar repetidos intentos, desde varias ubicaciones en el sistema de archivos. Todos estos intentos terminaron en fallas. Despu\u00e9s de una pausa de una hora, el operador volvi\u00f3 a intentarlo a las 07:19 UTC, este tiempo usando una muestra TunnusSched\/QUIETCANARY. La muestra TunnusSched tambi\u00e9n fue bloqueada&#8221;.<\/p>\n<p>Dicho esto, a pesar de los v\u00ednculos potenciales entre los dos grupos, se dice que Tomiris est\u00e1 separado de Turla debido a las diferencias en sus objetivos y oficios, lo que una vez m\u00e1s plantea la posibilidad de una operaci\u00f3n de bandera falsa.<\/p>\n<p>Por otro lado, tambi\u00e9n es muy probable que Turla y Tomiris colaboren en operaciones seleccionadas o que ambos actores conf\u00eden en un proveedor de software com\u00fan, como lo demuestra el uso de herramientas por parte de las agencias de inteligencia militar rusas proporcionadas por un contratista de TI con sede en Mosc\u00fa llamado NTC. Vulcano.<\/p>\n<p>&#8220;En general, Tomiris es un actor muy \u00e1gil y decidido, abierto a la experimentaci\u00f3n&#8221;, dijeron los investigadores, y agregaron que &#8220;existe una forma de cooperaci\u00f3n deliberada entre Tomiris y Turla&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/04\/russian-hackers-tomiris-targeting.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80224 de abril de 2023\ue804Ravie Lakshman\u00e1nEspionaje cibern\u00e9tico El actor de amenazas de habla rusa detr\u00e1s de una puerta<\/p>\n","protected":false},"author":1,"featured_media":720946,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,7848,14299,4661,9632,4664,4662,6214,117,4668,4667,36,4654,4658,4659,4653,4655,18,6213,4663,42583,690,4666,4665,158520,4660],"class_list":["post-720945","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apuntan","tag-asia","tag-ataques-ciberneticos","tag-central","tag-como-hackear","tag-filtracion-de-datos","tag-informaticos","tag-inteligencia","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-piratas","tag-programa-malicioso-ransomware","tag-recopilacion","tag-rusos","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-tomiris","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/720945","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=720945"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/720945\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/720946"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=720945"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=720945"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=720945"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}