El actor de amenazas ruso conocido como Gusano<\/strong> ha continuado su ola de ataques cibern\u00e9ticos contra entidades ucranianas en un intento por robar informaci\u00f3n confidencial de entornos comprometidos.<\/p>\n Los objetivos de las intrusiones recientes, que comenzaron en febrero\/marzo de 2023, incluyen servicios de seguridad, organizaciones militares y gubernamentales, Symantec dicho<\/a> en un nuevo informe compartido con The Hacker News.<\/p>\n “En algunos casos, el grupo ruso logr\u00f3 organizar intrusiones de larga duraci\u00f3n, que duraron hasta tres meses”, dijo la compa\u00f1\u00eda de seguridad cibern\u00e9tica.<\/p>\n “Los atacantes intentaron repetidamente acceder y robar informaci\u00f3n confidencial, como informes sobre la muerte de miembros del servicio ucraniano, informes de enfrentamientos enemigos y ataques a\u00e9reos, informes de inventario de arsenal, informes de entrenamiento y m\u00e1s”.<\/p>\n Shuckworm, tambi\u00e9n conocido por los nombres Aqua Blizzard (anteriormente Actinium), Armageddon, Gamaredon, Iron Tilden, Primitive Bear, Trident Ursa, UNC530 y Winterflounder, se atribuye al Servicio de Seguridad Federal de Rusia (FSB). Se dice que est\u00e1 activo desde al menos 2013.<\/p>\n Las actividades de espionaje cibern\u00e9tico consisten en campa\u00f1as de phishing dirigido que est\u00e1n dise\u00f1adas para atraer a las v\u00edctimas para que abran archivos adjuntos con trampas explosivas, lo que en \u00faltima instancia conduce al despliegue de ladrones de informaci\u00f3n como Giddome, Pterodo, GammaLoad y GammaSteel en hosts infectados.<\/p>\n “Iron Tilden sacrifica parte de la seguridad operativa en favor de las operaciones de alto ritmo, lo que significa que su infraestructura es identificable mediante el uso regular de proveedores de DNS din\u00e1mico espec\u00edficos, proveedores de alojamiento rusos y t\u00e9cnicas de inyecci\u00f3n remota de plantillas”, Secureworks notas<\/a> en su perfil del actor de amenazas.<\/p>\n En el \u00faltimo conjunto de ataques detallado por Symantec, se observ\u00f3 que los actores de amenazas utilizan un nuevo script de PowerShell para propagar la puerta trasera de Pterodo a trav\u00e9s de unidades USB.<\/p>\n Si bien el uso de los canales de Telegram por parte de Shuckworm para recuperar la direcci\u00f3n IP del servidor que aloja las cargas \u00fatiles est\u00e1 bien documentado, se dice que el actor de amenazas ampli\u00f3 la t\u00e9cnica para almacenar direcciones de comando y control (C2) en Telegraph, una plataforma de blogs propiedad de Telegrama.<\/p>\n El grupo tambi\u00e9n utiliza un script de PowerShell (“foto.safe”) que se propaga a trav\u00e9s de controladores USB comprometidos y cuenta con capacidades para descargar malware adicional en el host.<\/p>\n \ud83d\udd10 Dominio de la seguridad de API: comprensi\u00f3n de su verdadera superficie de ataque<\/p>\n Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/Pandilla-china-PostalFurious-ataca-a-usuarios-de-EAU-con-esquema.png\")
<\/a><\/center><\/div>\n