{"id":759415,"date":"2023-05-17T17:33:58","date_gmt":"2023-05-17T17:33:58","guid":{"rendered":"https:\/\/teknomers.com\/es\/grupo-de-amenazas-unc3944-que-abusa-de-la-consola-serie-de-azure-para-la-adquisicion-total-de-maquinas-virtuales\/"},"modified":"2023-05-17T17:34:01","modified_gmt":"2023-05-17T17:34:01","slug":"grupo-de-amenazas-unc3944-que-abusa-de-la-consola-serie-de-azure-para-la-adquisicion-total-de-maquinas-virtuales","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/grupo-de-amenazas-unc3944-que-abusa-de-la-consola-serie-de-azure-para-la-adquisicion-total-de-maquinas-virtuales\/","title":{"rendered":"Grupo de amenazas UNC3944 que abusa de la consola serie de Azure para la adquisici\u00f3n total de m\u00e1quinas virtuales"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">17 de mayo de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Intercambio de SIM \/ Seguridad del servidor<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Se ha observado a un actor cibern\u00e9tico motivado financieramente abusando de Microsoft Azure <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/troubleshoot\/azure\/virtual-machines\/serial-console-overview\" target=\"_blank\">Consola serie<\/a> en m\u00e1quinas virtuales (VM) para instalar herramientas de administraci\u00f3n remota de terceros dentro de entornos comprometidos.<\/p>\n<p>Mandiant, propiedad de Google, atribuy\u00f3 la actividad a un grupo de amenazas que rastrea bajo el nombre <strong>UNC3944<\/strong>que tambi\u00e9n se conoce como 0ktapus asado y ara\u00f1a dispersa.<\/p>\n<p>&#8220;Este m\u00e9todo de ataque fue \u00fanico en el sentido de que evit\u00f3 muchos de los m\u00e9todos de detecci\u00f3n tradicionales empleados en Azure y proporcion\u00f3 al atacante acceso administrativo completo a la m\u00e1quina virtual&#8221;, dijo la firma de inteligencia de amenazas. <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/sim-swapping-abuse-azure-serial\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>Se sabe que el adversario emergente, que sali\u00f3 a la luz por primera vez a fines del a\u00f1o pasado, aprovecha los ataques de intercambio de SIM para violar las empresas de telecomunicaciones y subcontrataci\u00f3n de procesos comerciales (BPO) desde al menos mayo de 2022.<\/p>\n<p>Posteriormente, Mandiant tambi\u00e9n encontr\u00f3 UNC3944 utilizando un cargador llamado STONESTOP para instalar un controlador firmado malicioso llamado POORTRY que est\u00e1 dise\u00f1ado para finalizar procesos asociados con el software de seguridad y eliminar archivos como parte de un ataque BYOVD.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhPsvDRpwJHCscCbQGGzzCxwFnB3hC5sx_8OQYqf2g3IyFCV5MeOgjjXUuUvkIjDms2-ezV1T34CCXGRFzUmSMUw10C-XQxEHP46FOxBIPyCcltNZFY2HdYJehJqfiGUhx4ofHLI7yaJMfiCOKKUbjmziJ_uNSbBRvNj44ngMvUtxMNUxF9654Oi1LS\/s728-e3650\/google.gif\" alt=\"Azur\" border=\"0\" data-original-height=\"373\" data-original-width=\"728\" title=\"Azur\"\/><\/div>\n<p>Actualmente no se sabe c\u00f3mo el actor de amenazas realiza los intercambios de SIM, aunque se sospecha que la metodolog\u00eda de acceso inicial implica el uso de mensajes SMS de phishing dirigidos a usuarios privilegiados para obtener sus credenciales y luego organizar un intercambio de SIM para recibir la autenticaci\u00f3n de dos factores (2FA). ) token a una tarjeta SIM bajo su control.<\/p>\n<p>Armado con el acceso elevado, el actor de amenazas luego se mueve para inspeccionar la red objetivo explotando <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/virtual-machines\/extensions\/overview\" target=\"_blank\">Extensiones de m\u00e1quinas virtuales de Azure<\/a> como Azure Network Watcher, Azure Windows Guest Agent, VMSnapshot y la configuraci\u00f3n de invitados de Azure Policy.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>Aprenda a detener el ransomware con protecci\u00f3n en tiempo real<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">\u00danase a nuestro seminario web y aprenda c\u00f3mo detener los ataques de ransomware en seco con MFA en tiempo real y protecci\u00f3n de cuenta de servicio.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/silver-web-inside\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Guardar mi asiento!<\/a><\/div>\n<p>&#8220;Una vez que el atacante completa su reconocimiento, emplea la funcionalidad de la consola en serie para obtener un s\u00edmbolo del sistema administrativo dentro de una m\u00e1quina virtual de Azure&#8221;, dijo Mandiant, y agreg\u00f3 que observ\u00f3 que UNC3944 usaba PowerShell para implementar herramientas leg\u00edtimas de administraci\u00f3n remota. <\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1684344838_288_Grupo-de-amenazas-UNC3944-que-abusa-de-la-consola-serie.png\" alt=\"Grupo UNC3944\" border=\"0\" data-original-height=\"252\" data-original-width=\"728\" title=\"Grupo UNC3944\"\/><\/div>\n<p>El desarrollo es otra evidencia m\u00e1s de que los atacantes se aprovechan de vivir de la tierra (<a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/cybersecurity-101\/living-off-the-land-attacks-lotl\/\" target=\"_blank\">LoteL<\/a>) t\u00e9cnicas para sostener y avanzar un ataque, al mismo tiempo que eluden la detecci\u00f3n.<\/p>\n<p>&#8220;El uso novedoso de la consola serie por parte de los atacantes es un recordatorio de que estos ataques ya no se limitan a la capa del sistema operativo&#8221;, dijo Mandiant.<\/p>\n<p>&#8220;Desafortunadamente, los recursos de la nube a menudo se malinterpretan, lo que lleva a configuraciones err\u00f3neas que pueden dejar estos activos vulnerables a los atacantes. Si bien los m\u00e9todos de acceso inicial, movimiento lateral y persistencia var\u00edan de un atacante a otro, una cosa est\u00e1 clara: los atacantes tienen sus ojos en la nube.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/threat-group-unc3944-abusing-azure.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80217 de mayo de 2023\ue804Ravie Lakshman\u00e1nIntercambio de SIM \/ Seguridad del servidor Se ha observado a un actor<\/p>\n","protected":false},"author":1,"featured_media":759416,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[10366,4657,4656,5206,8898,4661,21592,4664,80027,4662,2386,4668,4667,27516,4654,4658,4659,4653,4655,18,4663,4666,4665,985,1638,163212,9367,4660],"class_list":["post-759415","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-abusa","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-adquisicion","tag-amenazas","tag-ataques-ciberneticos","tag-azure","tag-como-hackear","tag-consola","tag-filtracion-de-datos","tag-grupo","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-maquinas","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-serie","tag-total","tag-unc3944","tag-virtuales","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/759415","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=759415"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/759415\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/759416"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=759415"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=759415"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=759415"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}