Un actor de amenazas persistentes avanzadas (APT) previamente no detectado denominado aguij\u00f3n rojo<\/strong> se ha relacionado con ataques dirigidos a Europa del Este desde 2020.<\/p>\n “Militares, transporte e infraestructura cr\u00edtica fueron algunas de las entidades atacadas, as\u00ed como algunas involucradas en el Refer\u00e9ndums de septiembre en el este de Ucrania<\/a>“, revel\u00f3 Malwarebytes en un informe<\/a> publicado hoy.<\/p>\n “Dependiendo de la campa\u00f1a, los atacantes lograron filtrar instant\u00e1neas, unidades USB, pulsaciones de teclado y grabaciones de micr\u00f3fonos”.<\/p>\n Red Stinger se superpone con un grupo de amenazas que Kaspersky revel\u00f3 bajo el nombre de Bad Magic el mes pasado como objetivo de organizaciones gubernamentales, agr\u00edcolas y de transporte ubicadas en Donetsk, Lugansk y Crimea el a\u00f1o pasado.<\/p>\n Si bien hubo indicios de que el grupo APT puede haber estado activo desde al menos septiembre de 2021, los \u00faltimos hallazgos de Malwarebytes retrasan los or\u00edgenes del grupo casi un a\u00f1o, y la primera operaci\u00f3n tuvo lugar en diciembre de 2020.<\/p>\n Se dice que la cadena de ataque, en ese momento, aprovech\u00f3 los archivos de instalaci\u00f3n maliciosos para colocar el implante DBoxShell (tambi\u00e9n conocido como PowerMagic) en los sistemas comprometidos. El archivo MSI, por su parte, se descarga mediante un archivo de acceso directo de Windows contenido dentro de un archivo ZIP.<\/p>\n Se ha observado que las oleadas posteriores detectadas en abril y septiembre de 2021 aprovechan cadenas de ataque similares, aunque con variaciones menores en los nombres de los archivos MSI.<\/p>\n Un cuarto conjunto de ataques coincidi\u00f3 con el inicio de la invasi\u00f3n militar rusa de Ucrania en febrero de 2022. La \u00faltima actividad conocida asociada con Red Stinger tuvo lugar en septiembre de 2022, seg\u00fan lo documentado por Kaspersky.<\/p>\n “DBoxShell es un malware que utiliza servicios de almacenamiento en la nube como un mecanismo de comando y control (C&C)”, dijeron los investigadores de seguridad Roberto Santos y Hossein Jazi.<\/p>\n “Esta etapa sirve como punto de entrada para los atacantes, permiti\u00e9ndoles evaluar si los objetivos son interesantes o no, lo que significa que en esta fase utilizar\u00e1n diferentes herramientas”.<\/p>\n La quinta operaci\u00f3n tambi\u00e9n se destaca por ofrecer una alternativa a DBoxShell llamada GraphShell, que se llama as\u00ed por su uso de la API de Microsoft Graph para prop\u00f3sitos de C&C.<\/p>\n La fase de infecci\u00f3n inicial es seguida por el actor de amenazas que implementa artefactos adicionales como ngrok<\/a>, rsockstun<\/a> (una utilidad de tunelizaci\u00f3n inversa) y un binario para filtrar los datos de la v\u00edctima a una cuenta de Dropbox controlada por el actor.<\/p>\n La escala exacta de las infecciones no est\u00e1 clara, aunque la evidencia apunta a dos v\u00edctimas ubicadas en el centro de Ucrania, un objetivo militar y un oficial que trabaja en infraestructura cr\u00edtica, que se vieron comprometidas como parte de los ataques de febrero de 2022.<\/p>\n Aprenda a detener el ransomware con protecci\u00f3n en tiempo real<\/p>\n \u00danase a nuestro seminario web y aprenda c\u00f3mo detener los ataques de ransomware en seco con MFA en tiempo real y protecci\u00f3n de cuenta de servicio.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1682966412_237_APT28-apunta-a-entidades-gubernamentales-ucranianas-con-falsificaciones-quotactualizacion-de.png\")
<\/a><\/center><\/div>\n![\"aguij\u00f3n](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1683821566_21_El-nuevo-grupo-APT-Red-Stinger-apunta-a-la-infraestructura.png\" "\\"aguij\u00f3n")
<\/div>\n