Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
3961
)
-
▼
mayo
(Total:
658
)
-
Presunto robo de 468 mil registros del servicio po...
-
Google presenta Gemini Spark, su alternativa a Ope...
-
Google y Samsung presentan gafas con Gemini y Andr...
-
Japón pone a prueba el 6G y alcanza velocidades de...
-
Google Gemini 3.5 Flash para competir en IA y prog...
-
Google presenta Carrito Universal con IA
-
Google presenta Antigravity 2.0 para programar con IA
-
Demanda con IA termina en ridículo legal
-
Comprometen paquetes de @antv en ataque de npm Min...
-
Administrador de CISA expone credenciales de AWS G...
-
Apple implementará IA para corregir mensajes
-
Intel y socios crean MacBook barato contra Apple
-
Publicado el PoC de DirtyDecrypt para la vulnerabi...
-
Utilizan routers Four-Faith para botnet
-
Edge deja de cargar contraseñas al iniciar
-
Cuidado: la IA puede robar tus huellas dactilares ...
-
GitHub Action comprometida filtra credenciales a d...
-
Atacantes usan Cloudflare para exfiltrar archivos ...
-
Detectan un fallo en Android que expone tu conexió...
-
Sony dejará de lanzar exclusivos en PC
-
Gen Z recupera el Discman por Spotify
-
Compañía Aérea prohíbe robots humanoides en sus vu...
-
Jefe de IA de Microsoft predice robots en oficinas...
-
Microsoft eliminará la tecla Copilot de Windows 11
-
Drupal lanzará actualizaciones críticas de segurid...
-
Movistar y Sony prueban 5G ultrarrápido en España
-
Novedades de Gemini en el Google I/O
-
Microsoft publica Azure Linux 4.0
-
Lo que publicas en Instagram lo están usando para ...
-
Microsoft confirma que hay problemas con las actua...
-
A falta de días para la huelga se filtra que Samsu...
-
Vulnerabilidades en el gateway de correo SEPPMail ...
-
LineShine, el super ordenador de China con 2,4 mil...
-
Claude Mythos halla fallos críticos en sistemas y ...
-
Mythos crea exploits PoC en investigación automati...
-
UE 5.8 lleva Ray Tracing a Switch 2
-
Barreras a la reparación de productos
-
Usan cuentas de Microsoft Entra ID para robar dato...
-
Grabaron su propio ciberataque en Teams
-
PlayStation Plus sube sus precios
-
Etiquetas populares de GitHub Action redirigidas a...
-
Las gafas inteligentes de Ray-Ban Meta permitirán ...
-
IA satura la lista de seguridad de Linux
-
Linux suma Nvidia Reflex y AMD Anti-Lag para todo GPU
-
Gemini supera a ChatGPT con su nuevo nivel de pens...
-
El test de Lovelace es una versión más exigente de...
-
Reaper: el malware que roba contraseñas y billeter...
-
Cómo borrar tus datos de Claude
-
IA dispara precio eléctrico en EE.UU. un 76%
-
Otro paquete de npm cae víctima de un clon de Shai...
-
Vulnerabilidad crítica en plugin Burst Statistics ...
-
Malta regalará ChatGPT Plus bajo una condición: qu...
-
WhatsApp lanza mensajes temporales inteligentes
-
Musk pierde juicio contra OpenAI
-
Grok Build: la IA de Elon Musk que programa por ti
-
NVIDIA Vera Rubin consumirá aproximadamente 6.041 ...
-
Un 60% de los jugadores de PC no planea comprarse ...
-
Linux domina los superordenadores
-
Aprende Linux con estos 4 juegos
-
CHUWI UniBook: rival directo del MacBook Neo con C...
-
Operación Ramz de INTERPOL desarticula redes de ci...
-
Estudiantes universitarios abuchean discursos de g...
-
ASUS ROG NUC 16: el mini-PC definitivo
-
Nueva vulnerabilidad escalada local de privilegios...
-
Grafana Labs reconoce que atacantes descargaron su...
-
Vulnerabilidades críticas de n8n exponen nodos a R...
-
Microsoft confirma error 0x800f0922 en actualizaci...
-
Atacantes de NGINX Rift actúan rápido contra servi...
-
Google Maps Lite: la versión ligera de 20 MB
-
Ryzen 5 5500X3D dobla rendimiento en juegos
-
TanStack evalúa restringir las solicitudes de pull...
-
Nuevo Zero-Day 'MiniPlasma' de Windows permite acc...
-
Robot supera a mecánicos cambiando neumáticos
-
Creador de OpenClaw gastó 1,3 millones de dólares ...
-
Malware Fast16, precursor de Stuxnet, alteró simul...
-
Exejecutivo de Microsoft critica Copilot
-
Forza Horizon 6 carga en 4 segundos gracias a Adva...
-
Siri borrará tus conversaciones automáticamente
-
Guitarra con IA que crea música al tocar
-
Cuatro paquetes maliciosos de npm roban claves SSH...
-
Mozilla advierte al Reino Unido: anular las VPN no...
-
ChatGPT vs apps financieras: así funciona su asesor
-
Resident Evil 3.5 en Unreal Engine 5
-
Google Project Zero revela exploit zero-click para...
-
Un millón de sitios de WordPress afectados por fal...
-
Debian 13.5: actualización de Trixie
-
Intel Panther Lake-R, así será versión de CPU más ...
-
EEUU rechaza centros de IA y nucleares cerca de casa
-
Primer exploit de memoria del Apple M5 hallado con...
-
Los fabricantes chinos como CXMT (DDR5 a 8.000 MT/...
-
Feliz cumpleaños, láser: la luz coherente, digna d...
-
Rivales del MacBook Neo: hardware potente y dudas ...
-
Cisco revela una nueva vulnerabilidad 0-day de esc...
-
Dentistas usan IA para encarecer tratamientos
-
Apagón urbano para alimentar la IA
-
Imágenes JPEG maliciosas podrían causar vulnerabil...
-
IA vs Médicos: ¿Quién diagnostica mejor?
-
Fallo de RCE en Claude Code permite ejecutar coman...
-
Operadores de 2FA usan phishing de OAuth para salt...
-
Usan rootkit OrBit para robar credenciales SSH y S...
-
-
▼
mayo
(Total:
658
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Noctua presenta el nuevo ventilador NF-A12x25 G2 chromax.black , que combina un diseño elegante en negro con la máxima refrigeración y baj... -
Un ataque de cadena de suministro a gran escala ha alertado a los desarrolladores de software en todo el mundo, después que comprometieran ... -
Un exploit zero-day llamado YellowKey permite abrir unidades con BitLocker usando archivos en un USBEl investigador Chaotic Eclipse ha revelado dos vulnerabilidades críticas: YellowKey y GreenPlasma. YellowKey permite acceder a discos prote...
Atacantes usan Cloudflare para exfiltrar archivos de redes comprometidas
Investigadores de seguridad han detectado una campaña de intrusión dirigida contra diversas organizaciones gubernamentales de Malasia. Los atacantes utilizaron un método discreto para robar datos, empleando un punto de acceso de almacenamiento alojado en Cloudflare para extraer archivos de los sistemas comprometidos sin activar las alarmas de seguridad.
Los atacantes han encontrado una nueva forma de robar datos silenciosamente de redes comprometidas y, esta vez, se esconden detrás de un rostro familiar.
Investigadores de seguridad han descubierto una campaña de intrusión dirigida que utilizó un punto final de almacenamiento alojado en Cloudflare para extraer archivos robados de sistemas vulnerados sin activar las alarmas.
La operación tuvo como objetivo múltiples organizaciones gubernamentales malayas y al menos una empresa del sector privado, mostrando una planificación que va mucho más allá de lo que suelen demostrar la mayoría de los hackers oportunistas.
Lo que hace que esta campaña destaque es la sofisticación que hay detrás. El atacante no dependió de herramientas comerciales.
En su lugar, crearon scripts de Python personalizados y adaptados a cada objetivo individual, con cada herramienta diseñada para una tarea específica dentro del entorno comprometido.
Ese tipo de trabajo preparatorio requiere una habilidad real y apunta a un actor de amenazas que se toma en serio la disciplina operativa.
Analistas de OASIS Security dijeron en un informe compartido con Cyber Security News (CSN) que la infraestructura controlada por el atacante está alojada en una máquina virtual de Microsoft Azure en la región de Malaysia West.
El descubrimiento permitió a los investigadores tener una visión clara de cómo operaba el atacante, ya que la infraestructura contenía una gran colección de herramientas de ataque que aún no habían sido eliminadas.
La campaña involucró varias piezas móviles, desde el acceso a bases de datos y el mapeo de la red interna hasta el despliegue de webshells en vivo y el robo de credenciales.
Lo que unió todo fue el uso por parte del atacante de un punto final de almacenamiento de Cloudflare como destino final para los archivos robados, diseñado para mezclar el tráfico saliente con la actividad normal de la nube y evadir la monitorización de la red.
El impacto ha sido significativo. Se confirmó el robo de credenciales del controlador de dominio, se encontraron webshells activas en al menos un servidor gubernamental y también se identificó un exploit encadenado dirigido a la plataforma de verificación de clientes de un operador de red móvil.
Estos hallazgos pintan la imagen de un actor con abundantes recursos que trabaja metódicamente en múltiples objetivos a la vez.
Los atacantes utilizan el punto final de almacenamiento de Cloudflare
Una de las partes más ingeniosas de esta campaña fue la forma en que el atacante movió los datos robados fuera de las redes comprometidas.
Se creó un script de Python llamado gen_photo_upload.py específicamente para subir archivos exfiltrados a un punto final de almacenamiento externo alojado en Cloudflare bajo el control del atacante.
Dado que Cloudflare goza de una amplia confianza, el tráfico dirigido hacia él rara vez despierta la misma sospecha que las conexiones a servidores desconocidos.
Esta técnica se denomina a menudo "vivir de servicios confiables" y es cada vez más común entre los actores de amenazas avanzadas.
Al enrutar los datos robados a través de un proveedor de nube legítimo, el atacante hizo que la exfiltración saliente pareciera una actividad web rutinaria.
Para las organizaciones que no inspeccionan detenidamente el tráfico saliente hacia dominios confiables, este canal puede pasar desapercibido durante mucho tiempo.
El script formaba parte de un conjunto de herramientas modulares más amplio, que captura la lógica de transferencia de archivos dirigida al punto final de Cloudflare controlado por el atacante.
.webp)
Cada script de la colección cumplía un papel específico, formando un pipeline estructurado desde el acceso inicial hasta el robo de datos.
Herramientas de C2 personalizadas y robo de credenciales
Quizás el hallazgo más alarmante fue el descubrimiento de código fuente no publicado previamente, tanto para un generador de balizas (beacons) en C# como para un controlador de comando y control basado en Python.
La baliza, beacon.cs, y el controlador, listener_http.py, no se basan en ningún marco de trabajo disponible públicamente, lo que sitúa a este actor muy por encima del perfil de los atacantes comunes.
La baliza se comunica con el receptor para formar un canal de comando privado entre el atacante y cualquier host comprometido. Su presencia en la infraestructura del atacante sugiere que ha sido utilizada en múltiples operaciones.
Un marco de trabajo desarrollado por uno mismo como este requiere conocimientos y recursos significativos para construirse y mantenerse.
En cuanto a las credenciales, el atacante extrajo archivos de colmena del registro de Windows de al menos un controlador de dominio, incluidos los archivos SAM, SECURITY y SYSTEM.
Un volcado de NTDS confirmó que también se tomaron los hashes de contraseñas de Active Directory. Con esas credenciales, el atacante tiene el potencial de mantener un acceso persistente en toda la red afectada.
Las organizaciones afectadas deben eliminar inmediatamente las webshells activas, restablecer todas las contraseñas a nivel de dominio y revisar cuidadosamente los artefactos dejados por el atacante para cortar cualquier acceso continuo o futuro.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| Dirección IP | 20.17.161.118 | VM de Microsoft Azure controlada por el atacante en la región de Malaysia West (AS8075) utilizada como infraestructura C2 y de preparación |
| Nombre de archivo | gen_photo_upload.py | Script de Python utilizado para exfiltrar archivos al punto final de almacenamiento de Cloudflare controlado por el atacante |
| Nombre de archivo | analyze_[REDACTADO].py | Script de Python con credenciales MSSQL integradas utilizado para ejecutar consultas SQL contra el servidor interno del objetivo |
| Nombre de archivo | asset_owner_check.py | Script de Python para inspeccionar y preparar conjuntos de datos de propiedad de activos a través de WinRM para su recolección |
| Nombre de archivo | check_cophoto.py | Script de Python para la enumeración de registros fotográficos basados en MSSQL y validación del tipo de columna |
| Nombre de archivo | deploy.py | Script de Python que contiene la configuración del punto final RPC externo para la ejecución de comandos remotos |
| Nombre de archivo | shell21.py | Script de Python utilizado para cargar una webshell PHP (health.php) en un portal gubernamental malasio |
| Nombre de archivo | health.php | Webshell PHP confirmada como activa en el servidor gubernamental objetivo al momento del análisis |
| Nombre de archivo | laravel_rce.php | Script de exploit PHP que implementa un ataque de RCE de deserialización de Laravel de cinco cadenas |
| Nombre de archivo | beacon.cs | Código fuente de un generador de balizas de malware en C# no revelado previamente |
| Nombre de archivo | listener_http.py | Código fuente de un controlador C2 HTTP basado en Python no revelado previamente |
| Nombre de archivo | h[REDACTADO]_targeted.txt | Archivo de texto que contiene 126 contraseñas de objetivos utilizadas en las operaciones de ataque |
| Nombre de archivo | j[REDACTADO]_dc_SAM | Archivo de colmena SAM del registro de Windows exfiltrado del controlador de dominio |
| Nombre de archivo | j[REDACTADO]_dc_SECURITY | Archivo de colmena SECURITY del registro de Windows exfiltrado del controlador de dominio |
| Nombre de archivo | j[REDACTADO]_dc_SYSTEM | Archivo de colmena SYSTEM del registro de Windows exfiltrado del controlador de dominio |
| Nombre de archivo | j[REDACTADO]_dc_dump.ntds | Archivo de salida de volcado NTDS que confirma la extracción de hashes de credenciales de Active Directory |
Nota: Las direcciones IP y los dominios han sido desestabilizados intencionalmente (por ejemplo, [.]) para evitar la resolución accidental o el enlace directo. Solo vuelve a activarlos dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/attackers-use-cloudflare-storage-endpoint/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.