{"id":773233,"date":"2023-05-26T00:40:44","date_gmt":"2023-05-26T00:40:44","guid":{"rendered":"https:\/\/teknomers.com\/es\/nueva-puerta-trasera-powerexchange-utilizada-en-ciberataque-irani-contra-el-gobierno-de-los-eau\/"},"modified":"2023-05-26T00:40:47","modified_gmt":"2023-05-26T00:40:47","slug":"nueva-puerta-trasera-powerexchange-utilizada-en-ciberataque-irani-contra-el-gobierno-de-los-eau","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nueva-puerta-trasera-powerexchange-utilizada-en-ciberataque-irani-contra-el-gobierno-de-los-eau\/","title":{"rendered":"Nueva puerta trasera PowerExchange utilizada en ciberataque iran\u00ed contra el gobierno de los EAU"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">25 de mayo de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Seguridad de correo electr\u00f3nico \/ Explotaci\u00f3n<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Una entidad gubernamental no identificada asociada con los Emiratos \u00c1rabes Unidos (EAU) fue atacada por un probable actor de amenazas iran\u00ed para violar el Microsoft Exchange Server de la v\u00edctima con una puerta trasera &#8220;simple pero efectiva&#8221; denominada <strong>intercambio de energ\u00eda<\/strong>.<\/p>\n<p>Seg\u00fan un nuevo informe de Fortinet FortiGuard Labs, la intrusi\u00f3n se bas\u00f3 en el phishing de correo electr\u00f3nico como v\u00eda de acceso inicial, lo que condujo a la ejecuci\u00f3n de un ejecutable .NET contenido con un archivo adjunto ZIP.<\/p>\n<p>El binario, que se hace pasar por un documento PDF, funciona como un cuentagotas para ejecutar la carga \u00fatil final, que luego inicia la puerta trasera.<\/p>\n<p>PowerExchange, escrito en PowerShell, emplea archivos de texto adjuntos a correos electr\u00f3nicos para la comunicaci\u00f3n de comando y control (C2).  Permite que el actor de amenazas ejecute cargas \u00fatiles arbitrarias y cargue y descargue archivos desde y hacia el sistema.<\/p>\n<p>El implante personalizado logra esto haciendo uso de los servicios web de Exchange (<a rel=\"nofollow noopener\" href=\"https:\/\/docs.microsoft.com\/en-us\/exchange\/client-developer\/web-service-reference\/ews-operations-in-exchange\" target=\"_blank\">SAT<\/a>) API para conectarse al servidor Exchange de la v\u00edctima y utiliza un buz\u00f3n en el servidor para enviar y recibir comandos codificados de su operador. <\/p>\n<p>&#8220;Se puede acceder al Exchange Server desde Internet, lo que ahorra la comunicaci\u00f3n C2 a servidores externos desde los dispositivos de las organizaciones&#8221;, investigadores de Fortinet <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/operation-total-exchange-backdoor-discovered\" target=\"_blank\">dicho<\/a>.  &#8220;Tambi\u00e9n act\u00faa como un proxy para que el atacante se enmascare&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1685061644_532_Nueva-puerta-trasera-PowerExchange-utilizada-en-ciberataque-irani-contra-el.jpg\" alt=\"Puerta trasera de Microsoft Exchange\" border=\"0\" data-original-height=\"472\" data-original-width=\"728\" title=\"Puerta trasera de Microsoft Exchange\"\/><\/div>\n<p>Dicho esto, actualmente no se sabe c\u00f3mo el actor de amenazas logr\u00f3 obtener las credenciales de dominio para conectarse al servidor Exchange de destino.<\/p>\n<p>La investigaci\u00f3n de Fortinet tambi\u00e9n descubri\u00f3 servidores de Exchange que ten\u00edan una puerta trasera con varios shells web, uno de los cuales se llama <a rel=\"nofollow noopener\" href=\"https:\/\/web.archive.org\/web\/20210514205203\/https:\/\/digital14.com\/Microsoft-exchange-vulnerability.html\" target=\"_blank\">IntercambioSanguijuela<\/a> (tambi\u00e9n conocido como System.Web.ServiceAuthentication.dll), para lograr acceso remoto persistente y robar credenciales de usuario.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249, 251, 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217, 222, 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust.  \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Guardar mi asiento!<\/a><\/div>\n<p>Se sospecha que PowerExchange es una versi\u00f3n mejorada de <a rel=\"nofollow noopener\" href=\"https:\/\/exchange.xforce.ibmcloud.com\/collection\/Suspected-Iranian-Threat-Actor-Campaign-Targeting-Kuwaiti-Entities-04abb9338fef57ce9ecdec1c81d73865\" target=\"_blank\">tricinco<\/a>que fue utilizado anteriormente por el actor de teatro nacional iran\u00ed APT34 (tambi\u00e9n conocido como OilRig) en intrusiones contra organizaciones gubernamentales en Kuwait.<\/p>\n<p>Adem\u00e1s, la comunicaci\u00f3n a trav\u00e9s de servidores Exchange orientados a Internet es una t\u00e1ctica probada y comprobada adoptada por los actores de OilRig, como se observ\u00f3 en el caso de Karkoff y MrPerfectionManager.<\/p>\n<p>&#8220;Usar el servidor Exchange de la v\u00edctima para el canal C2 permite que la puerta trasera se mezcle con el tr\u00e1fico benigno, lo que garantiza que el atacante pueda evitar f\u00e1cilmente casi todas las detecciones y remediaciones basadas en la red dentro y fuera de la infraestructura de la organizaci\u00f3n objetivo&#8221;, dijeron los investigadores.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/new-powerexchange-backdoor-used-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80225 de mayo de 2023\ue804Ravie Lakshman\u00e1nSeguridad de correo electr\u00f3nico \/ Explotaci\u00f3n Una entidad gubernamental no identificada asociada con<\/p>\n","protected":false},"author":1,"featured_media":773234,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,3265,4664,110,64940,4662,111,7691,4668,4667,36,4654,4658,4659,4653,4655,212,164839,4663,1732,4666,4665,7157,26711,4660],"class_list":["post-773233","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-ciberataque","tag-como-hackear","tag-contra","tag-eau","tag-filtracion-de-datos","tag-gobierno","tag-irani","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nueva","tag-powerexchange","tag-programa-malicioso-ransomware","tag-puerta","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-trasera","tag-utilizada","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/773233","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=773233"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/773233\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/773234"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=773233"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=773233"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=773233"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}