El sector de la defensa en Ucrania y Europa del Este ha sido objeto de una nueva puerta trasera basada en .NET llamada EntregaCheque<\/strong> (tambi\u00e9n conocido como CAPIBAR o GAMEDAY) que es capaz de entregar cargas \u00fatiles de pr\u00f3xima etapa.<\/p>\n El equipo de inteligencia de amenazas de Microsoft, en colaboraci\u00f3n<\/a> con el Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA), atribuy\u00f3 los ataques a un actor de estado-naci\u00f3n ruso conocido como Turla, que tambi\u00e9n se rastrea con los nombres Iron Hunter, Secret Blizzard (anteriormente Krypton), Uroburos, Venomous Bear y Waterbug. Est\u00e1 vinculado al Servicio de Seguridad Federal de Rusia (FSB).<\/p>\n “DeliveryCheck se distribuye por correo electr\u00f3nico como documentos con macros maliciosas”, la compa\u00f1\u00eda dicho<\/a> en una serie de tuits. “Persiste a trav\u00e9s de una tarea programada que lo descarga y lo inicia en la memoria. Tambi\u00e9n se comunica con un servidor C2 para recuperar tareas, que pueden incluir el lanzamiento de cargas \u00fatiles arbitrarias incrustadas en hojas de estilo XSLT”.<\/p>\n El acceso inicial exitoso tambi\u00e9n est\u00e1 acompa\u00f1ado en algunos casos por la distribuci\u00f3n de un conocido implante de Turla llamado Kazuar, que est\u00e1 equipado para robar archivos de configuraci\u00f3n de aplicaciones, registros de eventos y una amplia gama de datos de los navegadores web.<\/p>\n El objetivo final de los ataques es filtrar los mensajes de la aplicaci\u00f3n de mensajer\u00eda Signal para Windows, lo que permite al adversario acceder a conversaciones, documentos e im\u00e1genes confidenciales en los sistemas objetivo.<\/p>\n Un aspecto digno de menci\u00f3n de DeliveryCheck es su capacidad para violar los servidores de Microsoft Exchange para instalar un componente del lado del servidor mediante la configuraci\u00f3n de estado deseado de PowerShell (DSC<\/a>), una plataforma de gesti\u00f3n de PowerShell que ayuda a los administradores a automatizar la configuraci\u00f3n de los sistemas Windows.<\/p>\n “DSC genera un formato de objeto administrado (MOF<\/a>) que contiene un script de PowerShell que carga la carga \u00fatil de .NET incrustada en la memoria, convirtiendo efectivamente un servidor leg\u00edtimo en un centro C2 de malware”, explic\u00f3 Microsoft.<\/p>\n Prot\u00e9jase contra las amenazas internas: Domine la gesti\u00f3n de la postura de seguridad de SaaS<\/p>\n <\/a><\/p>\n \u00bfPreocupado por las amenazas internas? \u00a1Te tenemos cubierto! \u00danase a este seminario web para explorar estrategias pr\u00e1cticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.<\/p>\n \u00danete hoy<\/a><\/section>\n La divulgaci\u00f3n se produce cuando la Polic\u00eda Cibern\u00e9tica de Ucrania desmantelado<\/a> una granja de bots masiva con m\u00e1s de 100 personas que supuestamente difunden propaganda hostil que justifica la invasi\u00f3n rusa, filtran informaci\u00f3n personal perteneciente a ciudadanos ucranianos y participan en varios esquemas de fraude.<\/p>\n Como parte del operativo, se realizaron allanamientos en 21 localidades, con lo que se decomisaron equipos de c\u00f3mputo, tel\u00e9fonos m\u00f3viles, m\u00e1s de 250 pasarelas GSM y cerca de 150.000 tarjetas SIM de diferentes operadores m\u00f3viles.<\/p>\n <\/p>\n