{"id":767034,"date":"2023-05-22T14:54:37","date_gmt":"2023-05-22T14:54:37","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-reinado-extendido-de-bad-magic-en-el-espionaje-cibernetico-se-remonta-a-mas-de-una-decada\/"},"modified":"2023-05-22T14:54:41","modified_gmt":"2023-05-22T14:54:41","slug":"el-reinado-extendido-de-bad-magic-en-el-espionaje-cibernetico-se-remonta-a-mas-de-una-decada","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-reinado-extendido-de-bad-magic-en-el-espionaje-cibernetico-se-remonta-a-mas-de-una-decada\/","title":{"rendered":"El reinado extendido de Bad Magic en el espionaje cibern\u00e9tico se remonta a m\u00e1s de una d\u00e9cada"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">22 de mayo de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Ciberespionaje \/ Malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Los nuevos hallazgos sobre un grupo de piratas inform\u00e1ticos vinculado a los ataques cibern\u00e9ticos dirigidos a empresas en el \u00e1rea de conflicto ruso-ucraniana revelan que puede haber existido por mucho m\u00e1s tiempo de lo que se pensaba.<\/p>\n<p>El actor de amenazas, rastreado como <strong>mala magia<\/strong> (tambi\u00e9n conocido como Red Stinger), no solo se ha vinculado a una nueva y sofisticada campa\u00f1a, sino tambi\u00e9n a un grupo de actividades que sali\u00f3 a la luz por primera vez en mayo de 2016.<\/p>\n<p>&#8220;Si bien los objetivos anteriores estaban ubicados principalmente en las regiones de Donetsk, Luhansk y Crimea, el alcance ahora se ha ampliado para incluir a personas, entidades diplom\u00e1ticas y organizaciones de investigaci\u00f3n en el oeste y centro de Ucrania&#8221;, dijo la firma rusa de ciberseguridad Kaspersky. <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/cloudwizard-apt\/109722\/\" target=\"_blank\">dicho<\/a> en un informe t\u00e9cnico publicado la semana pasada.<\/p>\n<p>La campa\u00f1a se caracteriza por el uso de un marco modular novedoso con nombre en c\u00f3digo CloudWizard, que presenta capacidades para tomar capturas de pantalla, grabar micr\u00f3fonos, registrar pulsaciones de teclas, obtener contrase\u00f1as y recolectar bandejas de entrada de Gmail.<\/p>\n<p>Bad Magic fue documentado por primera vez por la compa\u00f1\u00eda en marzo de 2023, detallando el uso por parte del grupo de una puerta trasera llamada PowerMagic (tambi\u00e9n conocida como DBoxShell o GraphShell) y un marco modular denominado CommonMagic en ataques dirigidos a los territorios de Ucrania ocupados por Rusia.<\/p>\n<p>Luego, a principios de este mes, Malwarebytes revel\u00f3 al menos cinco oleadas de ataques de espionaje realizados por el grupo desde diciembre de 2020.<\/p>\n<p>La informaci\u00f3n m\u00e1s profunda compartida por Kaspersky conecta Bad Magic con la actividad anterior basada en la combinaci\u00f3n de datos hist\u00f3ricos de telemetr\u00eda, lo que permite a la empresa identificar varios artefactos asociados con el marco CloudWizard.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1684767277_103_El-reinado-extendido-de-Bad-Magic-en-el-espionaje-cibernetico.jpg\" alt=\"Espionaje cibern\u00e9tico\" border=\"0\" data-original-height=\"663\" data-original-width=\"728\" title=\"Espionaje cibern\u00e9tico\"\/><\/div>\n<p>Actualmente se desconoce el vector de acceso inicial utilizado para eliminar el instalador de la primera etapa.  Dicho esto, el malware est\u00e1 configurado para soltar un servicio de Windows (&#8220;syncobjsup.dll&#8221;) y un segundo archivo (&#8220;mods.lrc&#8221;) que, a su vez, contiene tres m\u00f3dulos diferentes para recopilar y exfiltrar datos confidenciales.<\/p>\n<p>La informaci\u00f3n se transmite en forma cifrada a un punto final de almacenamiento en la nube controlado por el actor (OneDrive, Dropbox o Google Drive).  Se utiliza un servidor web como mecanismo alternativo en caso de que no se pueda acceder a ninguno de los servicios.<\/p>\n<p>Kaspersky dijo que identific\u00f3 superposiciones de c\u00f3digo fuente entre una versi\u00f3n anterior de CloudWizard y otro malware conocido como Prikormka, que fue descubierto por la empresa de ciberseguridad eslovaca ESET en 2016.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1684767277_584_El-reinado-extendido-de-Bad-Magic-en-el-espionaje-cibernetico.jpg\" alt=\"Espionaje cibern\u00e9tico\" border=\"0\" data-original-height=\"392\" data-original-width=\"728\" title=\"Espionaje cibern\u00e9tico\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Fuente de la imagen: ESET<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>La campa\u00f1a de espionaje, monitoreada por ESET bajo el alias <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2016\/05\/18\/groundbait\/\" target=\"_blank\">Operaci\u00f3n Cebo<\/a>destac\u00f3 principalmente a los separatistas antigubernamentales en Donetsk y Luhansk y a los funcionarios del gobierno, pol\u00edticos y periodistas de Ucrania.<\/p>\n<p>Prikormka se implementa a trav\u00e9s de un cuentagotas contenido en archivos adjuntos de correo electr\u00f3nico maliciosos y presenta 13 componentes diferentes para recolectar varios tipos de datos de m\u00e1quinas comprometidas.  La evidencia recopilada por ESET muestra que el malware se ha utilizado de forma selectiva desde al menos 2008.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249, 251, 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217, 222, 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust.  \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Guardar mi asiento!<\/a><\/div>\n<p>CloudWizard tambi\u00e9n exhibe semejanzas con un conjunto de intrusi\u00f3n relacionado llamado <a rel=\"nofollow noopener\" href=\"https:\/\/web.archive.org\/web\/20171202045106\/https:\/cyberx-labs.com\/en\/blog\/operation-bugdrop-cyberx-discovers-large-scale-cyber-reconnaissance-operation\/\" target=\"_blank\">error<\/a> eso fue revelado por CyberX (que desde entonces ha sido adquirido por Microsoft) en 2017, y la compa\u00f1\u00eda de ciberseguridad industrial lo describi\u00f3 como m\u00e1s avanzado que Groundbait.<\/p>\n<p>Tambi\u00e9n se han descubierto similitudes entre CloudWizard y CommonMagic, incluida la victimolog\u00eda y las superposiciones de c\u00f3digo fuente, lo que indica que el actor de amenazas ha estado ajustando repetidamente su arsenal de malware e infectando objetivos durante unos 15 a\u00f1os.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhmz6v-NQLQV77ZgkdM-wXKjHROee04PgoYOUHH6Ig6-Rw1fjdiWDUifIzpRwvAVAk5tUk-xUfNYR348Zq8kjmUOOSz3Tx5j2FHQB8yd11QWgALGBApains-EgT2c7DFPoOL5SjkORdkYDOc0SiSAxLDhYnvUmjzMGCyoAdNuYNeQZHG9ACDVEyG5U7\/s728-e3650\/timeline.jpg\" alt=\"Espionaje cibern\u00e9tico\" border=\"0\" data-original-height=\"344\" data-original-width=\"728\" title=\"Espionaje cibern\u00e9tico\"\/><\/div>\n<p>El \u00faltimo desarrollo, al atribuir el marco de CloudWizard al actor detr\u00e1s de Operation Groundbait y Operation BugDrop, proporciona otra pieza del rompecabezas que espera finalmente revelar una imagen m\u00e1s amplia de los or\u00edgenes del misterioso grupo.<\/p>\n<p>&#8220;El actor de amenazas responsable de estas operaciones ha demostrado un compromiso persistente y continuo con el ciberespionaje, mejorando continuamente su conjunto de herramientas y apuntando a organizaciones de inter\u00e9s durante m\u00e1s de 15 a\u00f1os&#8221;, dijo el investigador de Kaspersky Georgy Kucherin. <a rel=\"nofollow noopener\" href=\"https:\/\/usa.kaspersky.com\/about\/press-releases\/2023_commonmagic-apt-campaign-broadens-its-target-scope-encompassing-central-and-western-ukraine\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;Los factores geopol\u00edticos contin\u00faan siendo un motivador importante para los ataques de APT y, dada la tensi\u00f3n que prevalece en el \u00e1rea de conflicto ruso-ucraniana, anticipamos que este actor persistir\u00e1 con sus operaciones en el futuro previsible&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/bad-magics-extended-reign-in-cyber.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80222 de mayo de 2023\ue804Ravie Lakshman\u00e1nCiberespionaje \/ Malware Los nuevos hallazgos sobre un grupo de piratas inform\u00e1ticos vinculado<\/p>\n","protected":false},"author":1,"featured_media":767035,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,9650,10042,4664,11315,10315,12389,4662,4668,4667,14064,16,4654,4658,4659,4653,4655,4663,36237,20280,4666,4665,158,4660],"class_list":["post-767034","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-bad","tag-cibernetico","tag-como-hackear","tag-decada","tag-espionaje","tag-extendido","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-magic","tag-mas","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-programa-malicioso-ransomware","tag-reinado","tag-remonta","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-una","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/767034","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=767034"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/767034\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/767035"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=767034"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=767034"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=767034"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}