Las entidades gubernamentales en el Medio Oriente y \u00c1frica han estado en el extremo receptor de ataques sostenidos de ciberespionaje que aprovechan el robo de credenciales raro y nunca antes visto y las t\u00e9cnicas de exfiltraci\u00f3n de correo electr\u00f3nico de Exchange.<\/p>\n
“El objetivo principal de los ataques era obtener informaci\u00f3n altamente confidencial y sensible, espec\u00edficamente relacionada con pol\u00edticos, actividades militares y ministerios de relaciones exteriores”, dijo Lior Rochberger, investigador principal de amenazas de Palo Alto Networks. dicho<\/a> en una inmersi\u00f3n t\u00e9cnica profunda publicada la semana pasada.<\/p>\n El equipo de investigaci\u00f3n de amenazas Cortex de la compa\u00f1\u00eda est\u00e1 seguimiento<\/a> la actividad bajo el nombre temporal CL-STA-0043<\/strong> (donde CL significa cl\u00faster y STA significa motivaci\u00f3n respaldada por el estado), describi\u00e9ndola como una “verdadera amenaza persistente avanzada”.<\/p>\n La cadena de infecci\u00f3n se desencadena por la explotaci\u00f3n de servicios de informaci\u00f3n de Internet locales vulnerables (IIS<\/a>) y Microsoft Exchange sirven para infiltrarse en las redes de destino.<\/p>\n Palo Alto Networks dijo que detect\u00f3 intentos fallidos de ejecutar el shell web de China Chopper en uno de los ataques, lo que provoc\u00f3 que el adversario cambiara de t\u00e1ctica y aprovechara un implante de Visual Basic Script en memoria del Exchange Server.<\/p>\n Despu\u00e9s de una intrusi\u00f3n exitosa, se realiza una actividad de reconocimiento para mapear la red y seleccionar servidores cr\u00edticos que contienen datos de valor, incluidos controladores de dominio, servidores web, servidores Exchange, servidores FTP y bases de datos SQL.<\/p>\n Tambi\u00e9n se ha observado que CL-STA-0043 aprovecha las herramientas nativas de Windows para escalar privilegios, lo que le permite crear cuentas de administrador y ejecutar otros programas con privilegios elevados.<\/p>\n Otro m\u00e9todo de escalada de privilegios implica el abuso de las funciones de accesibilidad en Windows, es decir, el “teclas pegajosas<\/a>“utilidad (sethc.exe): que hace posible eludir los requisitos de inicio de sesi\u00f3n y la puerta trasera de los sistemas.<\/p>\n “En el ataque, el atacante generalmente reemplaza el binario sethc.exe o los punteros\/referencias a estos binarios en el registro, con cmd.exe”, explic\u00f3 Rochberger. “Cuando se ejecuta, proporciona un shell de s\u00edmbolo del sistema elevado al atacante para ejecutar comandos arbitrarios y otras herramientas”.<\/p>\n CrowdStrike document\u00f3 a principios de abril un enfoque similar que emplea el Administrador de utilidades (utilman.exe) para establecer un acceso persistente de puerta trasera al entorno de una v\u00edctima.<\/p>\n \ud83d\udd10 Dominio de la seguridad de API: comprensi\u00f3n de su verdadera superficie de ataque<\/p>\n Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/1685807016_716_La-FTC-condena-a-Amazon-con-una-multa-de-308.jpg\")
<\/a><\/center><\/div>\n![\"Ciberespionaje](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/1687168549_52_Los-piratas-informaticos-respaldados-por-el-estado-emplean-metodos-avanzados.jpg\" "\\"Ciberespionaje")
<\/div>\n