Una campa\u00f1a en curso dirigida a los ministerios de asuntos exteriores de los pa\u00edses alineados con la OTAN apunta a la participaci\u00f3n de actores de amenazas rusos.<\/p>\n
Los ataques de phishing presentan documentos PDF con se\u00f1uelos diplom\u00e1ticos, algunos de los cuales est\u00e1n disfrazados como si provinieran de Alemania, para entregar una variante de un malware llamado Duque<\/a>que se ha atribuido a APT29<\/strong> (tambi\u00e9n conocido como BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard y The Dukes).<\/p>\n “El actor de amenazas us\u00f3 Zulip, una aplicaci\u00f3n de chat de c\u00f3digo abierto, para comando y control, para evadir y ocultar sus actividades detr\u00e1s del tr\u00e1fico web leg\u00edtimo”, dijo la empresa holandesa de ciberseguridad EclecticIQ. dicho<\/a> en un an\u00e1lisis la semana pasada.<\/p>\n La secuencia de infecci\u00f3n es la siguiente: el archivo PDF adjunto, denominado “Adi\u00f3s al embajador de Alemania”, viene incrustado con un c\u00f3digo JavaScript que inicia un proceso de varias etapas para dejar una puerta trasera persistente en las redes comprometidas.<\/p>\n El uso de temas de invitaci\u00f3n por parte de APT29 ha sido informado previamente por Lab52, que documentado<\/a> un ataque que se hace pasar por la embajada noruega para entregar una carga \u00fatil de DLL que es capaz de contactar a un servidor remoto para obtener cargas \u00fatiles adicionales.<\/p>\n El uso del dominio “bahamas.gov[.]bs” en ambos conjuntos de intrusi\u00f3n solidifica a\u00fan m\u00e1s este v\u00ednculo. Los hallazgos tambi\u00e9n corroboran investigaciones previas del Centro de Inteligencia de Amenazas de Anheng liberado<\/a> el mes pasado.<\/p>\n Si un objetivo potencial sucumbe a la trampa de phishing al abrir el archivo PDF, se lanza un gotero HTML malicioso llamado Invitation_Farewell_DE_EMB para ejecutar JavaScript que suelta un archivo ZIP que, a su vez, se empaqueta en un archivo de aplicaci\u00f3n HTML (HTA) dise\u00f1ado para implementar el software malicioso Duke.<\/p>\n El comando y control (C2) se facilita al hacer uso de la API de Zulip para enviar los detalles de la v\u00edctima a una sala de chat controlada por el actor (toyy.zulipchat[.]com), as\u00ed como para controlar de forma remota los hosts comprometidos.<\/p>\n EclecticIQ dijo que identific\u00f3 un segundo archivo PDF, probablemente utilizado por APT29 con fines de reconocimiento o de prueba.<\/p>\n “No conten\u00eda una carga \u00fatil, pero notific\u00f3 al actor si una v\u00edctima abr\u00eda el archivo adjunto del correo electr\u00f3nico al recibir una notificaci\u00f3n a trav\u00e9s de un dominio comprometido edenparkweddings[.]com”, dijeron los investigadores.<\/p>\n Vale la pena se\u00f1alar que el abuso de Zulip es parte del curso con el grupo patrocinado por el estado<\/a>que tiene una trayectoria de apalancamiento<\/a> una amplia gama de servicios de Internet leg\u00edtimos como Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase y Trello para C2.<\/p>\n Los principales objetivos de APT29 son los gobiernos y los subcontratistas gubernamentales, las organizaciones pol\u00edticas, las empresas de investigaci\u00f3n y las industrias cr\u00edticas en los EE. UU. y Europa. Pero en un giro interesante, se ha observado a un adversario desconocido. empleando sus t\u00e1cticas<\/a> para violar a los usuarios de habla china con Cobalt Strike.<\/p>\n El desarrollo se produce como el Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) prevenido<\/a> de un nuevo conjunto de ataques de phishing contra organizaciones estatales de Ucrania utilizando un Go-based kit de herramientas de post-explotaci\u00f3n de c\u00f3digo abierto<\/a> llamado Esmerej\u00f3n<\/a>. La actividad est\u00e1 siendo rastreada bajo el alias UAC-0154.<\/p>\n El pa\u00eds devastado por la guerra tambi\u00e9n ha enfrentado ataques cibern\u00e9ticos sostenidos de Sandworm, una unidad de pirater\u00eda de \u00e9lite afiliada a la inteligencia militar rusa, cuyo objetivo principal es interrumpir operaciones cr\u00edticas y recopilar inteligencia para obtener una ventaja estrat\u00e9gica.<\/p>\n Seg\u00fan un informe reciente del Servicio de Seguridad de Ucrania (SBU), se dice que el actor de amenazas intent\u00f3 sin \u00e9xito obtener acceso no autorizado a tabletas android<\/a> en posesi\u00f3n del personal militar ucraniano para planificar y realizar misiones de combate.<\/p>\n “La captura de dispositivos en el campo de batalla, su examen detallado y el uso del acceso disponible y el software se convirtieron en el vector principal para el acceso inicial y la distribuci\u00f3n de malware”, dijo la agencia de seguridad. dicho<\/a>.<\/p>\n Algunas de las cepas de malware incluyen NETD para garantizar la persistencia, DROPBEAR para establecer acceso remoto, STL para recopilar datos del sistema satelital Starlink, DEBLIND para exfiltrar datos, el Mirai<\/a> malware de red de bots. Tambi\u00e9n se utiliza en los ataques un servicio oculto TOR para acceder al dispositivo en la red local a trav\u00e9s de Internet.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/Microsoft-Flags-Growing-Cybersecurity-Concerns-for-Major-Sporting-Events.png\")
<\/a><\/center><\/section>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/China039s-APT31-Suspected-in-Attacks-on-Air-Gapped-Systems-in-Eastern.gif\")
<\/a><\/center><\/section>\n