Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1024
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
abril
(Total:
76
)
- El ransomware BlackCat
- ¿Qué es la extensión de un archivo en Windows?
- Telegram como sucursal y paraíso del ciber crimen
- 76 detenidos por estafar mediante SMS fraudulentos...
- Google consigue una orden judicial para desmantela...
- Microsoft comunica que ya no habrá más versiones d...
- Microsoft Edge filtra los sitios web que visitas a...
- Intel sufre las mayores pérdidas de su historia tr...
- Hackean un satélite de la Agencia Espacial Europea...
- Google añadirá cifrado de extremo a extremo a Auth...
- Hackean a Coca-Cola Femsa México
- Aumentan los ataques de ransomware a sistemas de v...
- Microsoft mejora Phone Link para iOS
- Plugins para administrar y securizar Kubernetes
- El FBI y la Policía Nacional España detiene en Mad...
- El Centro Europeo para la Transparencia Algorítmic...
- VirusTotal añade la inteligencia artificial a su m...
- Millones de ordenadores escolares ChromeBook dejan...
- La botnet Mirai utiliza routers vulnerables TP-Lin...
- Varios empleados de Google pidieron detener la int...
- Si tienes un dominio .net lo podrían confiscar sin...
- Un canal de TV argentino emite ‘Super Mario Bros. ...
- Google Authenticator ya permite guardar una copia ...
- Los grupos de ransomware más activos
- Ruso acusado de lavar dinero del grupo de ransomwa...
- Trucos para móviles Samsung
- Nueva inteligencia artificial crea modelos fictici...
- Servidores Microsoft SQL hackeados para implementa...
- El FBI advierte sobre el "Juicejacking", los riesg...
- Unrecord es el shooter FPS más realista que has visto
- Facebook pagará una multa millonaria a usuarios en...
- Ciberdelincuentes utilizan capturas de pantalla pa...
- El CEO de Google advierte: "la sociedad no está pr...
- Miles de datos internos y de exempleados de Telepi...
- Experta en inteligencia artificial que Google desp...
- El FBI y la Interpol no quieren que WhatsApp y otr...
- Roban coches con un Nokia 3310 y unos altavoces bl...
- ¿Qué es el Business Email Compromise?
- Mejores DNS: dns más seguros y privados
- Pegasus sigue siendo usando en México contra los d...
- Utilizan Google Drive para exfiltrar información r...
- Nuevos métodos de distribución del Malware QBot
- Afiliado del grupo ransomware BlackCat atacando Ve...
- Magi será el nuevo buscador de Google impulsado po...
- Estados Unidos debate condenar a 20 años de prisió...
- Cómo un grupo de gamers expuso una de las filtraci...
- Exfiltración de datos a través de PowerShell del g...
- Involucran Alcasec en el mayor hackeo a Telefónica...
- Google anuncia un fondo de asistencia legal para h...
- Investigaciones OSINT en la Dark Web
- Más de un millón de sitios WordPress infectados po...
- Intel y ARM anuncian un acuerdo para la fabricació...
- Nuevas funciones adicionales de seguridad para Wha...
- El Bitcoin consume como una ciudad de 8 millones d...
- ¿Era Steve Jobs el verdadero Satoshi Nakamoto, el ...
- Utilizan grave vulnerabilidad en iPhone Calendar p...
- 0-day en Windows es explotado por el ransomware No...
- Twitter ya no existe como compañía; ahora es X Corp
- Hyundai España sufre un ciberataque que compromete...
- Microsoft lleva cinco años ralentizando Firefox co...
- Empleados de Samsung filtraron información confide...
- El foro oficial de Kodi ha sido hackeado
- Empleados de Tesla compartieron vídeos íntimos de ...
- Un nuevo ransomware es capaz de cifrar 220 mil fic...
- Vulnerabilidad crítica en biblioteca VM2 de NodeJS
- Nueva York denuncia a Amazon por guardar datos bio...
- Marcas y modelos de discos duros: Seagate vs Weste...
- La IA puede descifrar la mayoría de contraseñas en...
- Fabricante MSI víctima de un ataque de ransomware ...
- El FBI desmantela Genesis Market, el mayor mercado...
- Archivos autoextraíbles SFX son utilizados para ej...
- El proyecto Tor presenta su nuevo navegador Mullvad
- Hackean Western Digital y todos sus servicios en ...
- Incidente de seguridad afecta a los clientes de Yo...
- Detenido Alcasec por hackear el Punto Neutro Judic...
- Italia bloquea ChatGPT por no respetar la protecci...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
-
Si estos días vas a cualquiera de las plataformas de venta que hay en internet y buscas un USB probablemente te encuentras con no pocos con ...
Utilizan Google Drive para exfiltrar información robada a periodistas
Investigadores del Threat Analysis Group (TAG) de Google presentaron sus hallazgos en el Informe Threat Horizons de la compañía. Mostraron que el grupo APT41 estaba haciendo un mal uso del herramienta GC2 (Google Command and Control) en sus ataques. GC2, también conocido como Google Command and Control, es un proyecto de código abierto creado específicamente para operaciones de equipos rojos. Fue escrito en el lenguaje de programación Go. GC2 (Comando y Control de Google) es una aplicación de Comando y Control que permite a un adversario filtrar datos usando Google Drive y ejecutar instrucciones en el sistema de destino usando Google Sheet. Durante las operaciones de Red Teaming, este software se construyó para brindar un comando y control que no necesita ninguna configuración específica (como un dominio personalizado, VPS, CDN, etc.). Esto se hizo con el fin de hacer la aplicación más accesible.
En octubre de 2022, el Grupo de Análisis de Amenazas (TAG) de Google logró interrumpir una campaña dirigida por HOODOO, un atacante respaldado por el gobierno chino también conocido como APT41. Este esfuerzo estaba dirigido a una organización de medios taiwanesa y consistía en enviar correos electrónicos de phishing que incluían enlaces a un archivo protegido con contraseña que estaba alojado en Drive. La carga útil era una pieza de software de código abierto conocida como ” Comando y control de Google”.” (GC2), que era una herramienta de red teaming. El programa está escrito en Go y recibe instrucciones de Google Sheets. Estas órdenes se utilizan para filtrar datos a Google Drive, lo que presumiblemente se hace para ocultar el comportamiento malicioso. Una vez que se ha instalado en el sistema de la víctima, el malware consultará Google Sheets para recopilar pedidos del atacante.
El atacante puede descargar más archivos de Drive a la máquina de destino usando GC2, además de filtrar datos a través de Drive. HOODOO utilizó previamente GC2 en el mes de julio de 2022 para dirigirse a un sitio web italiano de búsqueda de empleo. Estos ataques arrojan luz sobre algunos patrones críticos en el panorama de seguridad que plantean los actores de amenazas vinculados con China. En primer lugar, en lugar de crear sus propias herramientas únicas, las organizaciones chinas de amenazas persistentes avanzadas (APT) están recurriendo cada vez más a herramientas de acceso público como Cobalt Strike y otro software de “pentest” que se puede comprar o encontrar en sitios como Github. Este patrón se puede ver, por ejemplo, en la implementación de GC2 de HOODOO. En segundo lugar, la cantidad de herramientas que se crean en el lenguaje de programación Go ha aumentado constantemente durante los últimos años. Lo más probable es que esto se deba a la adaptabilidad del lenguaje Go, así como a la facilidad con la que se pueden agregar o quitar componentes del módulo. En conclusión, el ataque a los medios taiwaneses ejemplifica la continua superposición de actores de amenazas del sector público que atacan a entidades del sector privado con vínculos mínimos con el gobierno.
El Equipo de Acción de Ciberseguridad de Google (GCAT) y Mandiant realizaron una investigación sobre el uso de Google Drive por parte de los actores de amenazas para alojar malware. La investigación reveló que los actores de amenazas almacenan malware en Google Drive como archivos ZIP cifrados, muy probablemente en un intento de evitar la detección. Por ejemplo, en el cuarto trimestre de 2022, Mandiant descubrió una campaña que alojaba el binario URSNIF en Google Drive para propagar el malware URSNIF. URSNIF es una pieza de software de intrusión genérica muy conocida que tiene un historial de uso como robot bancario. Los actores de amenazas enviaron correos electrónicos de phishing en un intento de engañar a las posibles víctimas para que descargaran archivos ZIP protegidos con contraseña que incluían material dañino. Este contenido fue instalado posteriormente en las computadoras de las víctimas.
El malware DICELOADER, que es otro tipo de malware
de intrusión amplio que puede usarse para una variedad de objetivos, fue
empleado por los actores de amenazas a fines del cuarto trimestre de
2022 para implementar una extensión de este enfoque. Durante esta
campaña, Mandiant descubrió correos electrónicos de phishing que tenían
enlaces maliciosos a Google Drive. Al hacer clic en estos enlaces, la
computadora del destinatario descargó un archivo ZIP que incluía un
archivo LNK. El instalador Trojanized Zoom MSI se descargó e instaló más
tarde como resultado del archivo LNK, que finalmente resultó en la
infección causada por DICELOADER. Según los correos electrónicos de
phishing que descubrió Mandiant, esta campaña dio la impresión de que
estaba dirigida a la industria de servicios financieros.
Google tomó
una serie de medidas para detener este comportamiento en ese momento, y
la empresa también implementó nuevas habilidades de investigación para
mejorar su capacidad de identificar y frustrar futuras instancias de uso
malicioso similar de Google Drive.
Estas técnicas sacan a la luz el
riesgo que plantean los actores de amenazas que utilizan servicios en la
nube para alojar contenido malicioso y su desarrollo continuo de
técnicas de evasión para evitar la detección. Por ejemplo, han pasado de
usar archivos ZIP cifrados que contenían malware a archivos ZIP
cifrados que se vinculaban a instaladores legítimos con troyanos. Debido
a que se espera que esta tendencia continúe, las empresas deben
extremar las precauciones al monitorear las descargas, especialmente de
sitios web que parecen confiables.
Fuentes:
https://services.google.com/fh/files/blogs/gcat_threathorizons_full_apr2023.pdf
https://thehackernews.com/2023/04/google-uncovers-apt41s-use-of-open.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.