Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
4383
)
-
▼
mayo
(Total:
1079
)
-
Autoridades neerlandesas desmantelan red de bots q...
-
Vulnerabilidad en WP Maps Pro permite la creación ...
-
La AMD Radeon RX 9070 GRE se lanzará mañana fuera ...
-
IA militar: EE. UU. y China rechazan prohibir arma...
-
Meta lanzará wearables con IA para el trabajo
-
¿AWS agotará el agua de Aragón?
-
Intel Arc G: gaming portátil
-
iPhone 18 Pro Max: diseño y colores
-
Fedora 42 deja de recibir soporte
-
G.SKILL anuncia su nuevo kit de memoria DDR5 CU-DI...
-
Python lidera el mercado laboral frente a la IA
-
Meta rastrea clics de empleados para su IA e infri...
-
ChatGPT elimina modelo popular
-
China abre la primera escuela de robots humanoides
-
NVIDIA y Microsoft: planes secretos
-
El declive imparable de 23andMe
-
GitLab corrige fallos de Duo AI, DoS y autorizació...
-
IA peligrosa llegaría a Claude Code
-
Microsoft crea super app de IA contra ChatGPT y Cl...
-
Una RX 9070 XT deja de funcionar por culpa de su p...
-
DockSec lleva la IA a la seguridad de contenedores
-
Paquete NuGet malicioso de Sicoob SDK roba contras...
-
Ransomware Gentlemen usa tarea programada de SYSTE...
-
Google refuerza la protección de Chrome para evita...
-
El CEO de Huawei agradece a Estados Unidos por hab...
-
Codex lleva función de Mac a Windows
-
Explotación activa de vulnerabilidad de bypass de ...
-
Herramienta de IA Pentest Swarm con acceso a nmap,...
-
Windows 10 sigue en el 30% de PCs HP
-
Ciberdelincuentes aprovechan fallo crítico en Fort...
-
Xbox pide paciencia pese a la mejora de Game Pass
-
Nueva amenaza vinculada a Rusia: GREYVIBE lanza ci...
-
Paquetes de npm roban secretos de nube y CI/CD
-
Anthropic supera a OpenAI como la startup de IA má...
-
Nueva vulnerabilidad de ChatGPT permite convertir ...
-
Interfaz remota de Codex roba tokens de OpenAI
-
IA: el coste del tokenmaxxing amenaza la rentabilidad
-
Microsoft recomienda antivirus externos en Windows 11
-
Linux DNS-AID: descubrimiento descentralizado de IA
-
Policía holandesa rescata 17 millones de dispositi...
-
RCE en VS Code Remote-SSH permite saltar de equipo...
-
Actualización de seguridad crítica de Oracle: parc...
-
La escasez de memoria llega a los routers WiFi 7 d...
-
Alerta por estafa del falso hijo en WhatsApp
-
Empresa misteriosa gastó 500 millones en Claude AI...
-
Filtración de datos en Charter Communications afec...
-
EE. UU. acusa a ingeniero de seguridad de Google p...
-
Claude Opus 4.8 ya está aquí: 2,5 veces más veloci...
-
OneXPlayer 3 estrena Intel G3
-
Teléfonos de militares filtraron datos de ubicació...
-
Filtrado iOS 27: Siri independiente y cámara con IA
-
Windows 11: nueva función acelera la CPU un 70%
-
Usan falsas actualizaciones de reproductores de ví...
-
Filtración de datos compañía cruceros más grande d...
-
Se acabó quedarse sin cobertura: la revolucionaria...
-
Google Chrome implementa protección contra el robo...
-
Filtraciones revelan preocupación de EE. UU. por e...
-
IBM y Red Hat invierten 5.000 millones en segurida...
-
Alternativas al Buscador Google
-
Empleado de Google acusado de ganar 1,2 millones c...
-
Paquetes maliciosos de NuGet de Sicoob roban crede...
-
Nueva cadena de ataques Zapocalypse permite tomar ...
-
ClearFake usa contratos inteligentes de BSC Testne...
-
Ingeniero chino de hardware de AMD habla sobre RDN...
-
Jefes ignoran el uso clandestino de IA por exceso ...
-
Webs maliciosas rastrean visitas analizando la act...
-
Utilizan Teams para suplantar al soporte técnico
-
QNAP lanza nuevos switches gestionables con puerto...
-
Italia impone impuesto del 200% a centros de datos...
-
Kimsuky despliega HTTPSpy y amplía su arsenal con ...
-
Windows 11: Efecto del Perfil de Baja Latencia en ...
-
La Comisión Europea multa a Temu con 200 millones ...
-
EE.UU. alerta sobre el auge del extremismo anti-te...
-
Microsoft critica la publicación de vulnerabilidad...
-
GreyVibe emplea ChatGPT y Gemini para potenciar su...
-
Prueba 570 sistemas operativos míticos en tu naveg...
-
ASUS ROG XREAL R1: gaming en otra dimensión
-
Utilizan instaladores falsos de ChatGPT y Claude p...
-
Hackers usan malware Grandoreiro contra bancos por...
-
Claude Opus 4.8 con capacidad de ingeniero experto
-
Campaña GHOST STADIUM engaña a fans del Mundial co...
-
DuckDuckGo crece un 28% gracias a su búsqueda sin IA
-
Windows 11 imita a los AirPods
-
Pagar por usar WhatsApp, Instagram y Facebook ya h...
-
Vulnerabilidad de FortiClient explotada para despl...
-
Vulnerabilidad crítica en OpenVPN Connect para mac...
-
Controla y protege tus datos fácilmente con la app...
-
Nueva vulnerabilidad de Linux CIFSwitch permite ac...
-
Snapdragon C, el chip destinado a crear los «MacBo...
-
Nuevo fallo de día cero en Gogs permite la ejecuci...
-
Atacantes pueden explotar BadHost para acceder a s...
-
Guía de copia de seguridad de Firefox
-
Pueden espiar tu navegación midiendo la actividad ...
-
Rumano condenado a 5 años de prisión por hackear r...
-
FBI: Delincuentes irrumpen en despachos legales y ...
-
Vulnerabilidad del kernel de Windows permite modif...
-
Vulnerabilidad crítica en Roundcube permite inyect...
-
Condenan a 33 años de prisión a extorsionador sexu...
-
Usan chatbots de IA para difundir software malicioso
-
Stream Deck integra IA y control por voz
-
-
▼
mayo
(Total:
1079
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Mozilla ha parcheado 271 vulnerabilidades en Firefox utilizando Claude Mythos , destacando que se produjeron casi cero falsos positivos . ... -
Samsung podría lanzar el Galaxy S27 Pro , un nuevo modelo de gama alta situado entre el Galaxy S27 y el S27 Ultra . -
DuckDuckGo ha experimentado un incremento del 28% en visitas a su opción de búsqueda sin IA , como respuesta al impulso de los resúmenes g...
Atacantes usan Cloudflare para exfiltrar archivos de redes comprometidas
Investigadores de seguridad han detectado una campaña de intrusión dirigida contra diversas organizaciones gubernamentales de Malasia. Los atacantes utilizaron un método discreto para robar datos, empleando un punto de acceso de almacenamiento alojado en Cloudflare para extraer archivos de los sistemas comprometidos sin activar las alarmas de seguridad.
Los atacantes han encontrado una nueva forma de robar datos silenciosamente de redes comprometidas y, esta vez, se esconden detrás de un rostro familiar.
Investigadores de seguridad han descubierto una campaña de intrusión dirigida que utilizó un punto final de almacenamiento alojado en Cloudflare para extraer archivos robados de sistemas vulnerados sin activar las alarmas.
La operación tuvo como objetivo múltiples organizaciones gubernamentales malayas y al menos una empresa del sector privado, mostrando una planificación que va mucho más allá de lo que suelen demostrar la mayoría de los hackers oportunistas.
Lo que hace que esta campaña destaque es la sofisticación que hay detrás. El atacante no dependió de herramientas comerciales.
En su lugar, crearon scripts de Python personalizados y adaptados a cada objetivo individual, con cada herramienta diseñada para una tarea específica dentro del entorno comprometido.
Ese tipo de trabajo preparatorio requiere una habilidad real y apunta a un actor de amenazas que se toma en serio la disciplina operativa.
Analistas de OASIS Security dijeron en un informe compartido con Cyber Security News (CSN) que la infraestructura controlada por el atacante está alojada en una máquina virtual de Microsoft Azure en la región de Malaysia West.
El descubrimiento permitió a los investigadores tener una visión clara de cómo operaba el atacante, ya que la infraestructura contenía una gran colección de herramientas de ataque que aún no habían sido eliminadas.
La campaña involucró varias piezas móviles, desde el acceso a bases de datos y el mapeo de la red interna hasta el despliegue de webshells en vivo y el robo de credenciales.
Lo que unió todo fue el uso por parte del atacante de un punto final de almacenamiento de Cloudflare como destino final para los archivos robados, diseñado para mezclar el tráfico saliente con la actividad normal de la nube y evadir la monitorización de la red.
El impacto ha sido significativo. Se confirmó el robo de credenciales del controlador de dominio, se encontraron webshells activas en al menos un servidor gubernamental y también se identificó un exploit encadenado dirigido a la plataforma de verificación de clientes de un operador de red móvil.
Estos hallazgos pintan la imagen de un actor con abundantes recursos que trabaja metódicamente en múltiples objetivos a la vez.
Los atacantes utilizan el punto final de almacenamiento de Cloudflare
Una de las partes más ingeniosas de esta campaña fue la forma en que el atacante movió los datos robados fuera de las redes comprometidas.
Se creó un script de Python llamado gen_photo_upload.py específicamente para subir archivos exfiltrados a un punto final de almacenamiento externo alojado en Cloudflare bajo el control del atacante.
Dado que Cloudflare goza de una amplia confianza, el tráfico dirigido hacia él rara vez despierta la misma sospecha que las conexiones a servidores desconocidos.
Esta técnica se denomina a menudo "vivir de servicios confiables" y es cada vez más común entre los actores de amenazas avanzadas.
Al enrutar los datos robados a través de un proveedor de nube legítimo, el atacante hizo que la exfiltración saliente pareciera una actividad web rutinaria.
Para las organizaciones que no inspeccionan detenidamente el tráfico saliente hacia dominios confiables, este canal puede pasar desapercibido durante mucho tiempo.
El script formaba parte de un conjunto de herramientas modulares más amplio, que captura la lógica de transferencia de archivos dirigida al punto final de Cloudflare controlado por el atacante.
.webp)
Cada script de la colección cumplía un papel específico, formando un pipeline estructurado desde el acceso inicial hasta el robo de datos.
Herramientas de C2 personalizadas y robo de credenciales
Quizás el hallazgo más alarmante fue el descubrimiento de código fuente no publicado previamente, tanto para un generador de balizas (beacons) en C# como para un controlador de comando y control basado en Python.
La baliza, beacon.cs, y el controlador, listener_http.py, no se basan en ningún marco de trabajo disponible públicamente, lo que sitúa a este actor muy por encima del perfil de los atacantes comunes.
La baliza se comunica con el receptor para formar un canal de comando privado entre el atacante y cualquier host comprometido. Su presencia en la infraestructura del atacante sugiere que ha sido utilizada en múltiples operaciones.
Un marco de trabajo desarrollado por uno mismo como este requiere conocimientos y recursos significativos para construirse y mantenerse.
En cuanto a las credenciales, el atacante extrajo archivos de colmena del registro de Windows de al menos un controlador de dominio, incluidos los archivos SAM, SECURITY y SYSTEM.
Un volcado de NTDS confirmó que también se tomaron los hashes de contraseñas de Active Directory. Con esas credenciales, el atacante tiene el potencial de mantener un acceso persistente en toda la red afectada.
Las organizaciones afectadas deben eliminar inmediatamente las webshells activas, restablecer todas las contraseñas a nivel de dominio y revisar cuidadosamente los artefactos dejados por el atacante para cortar cualquier acceso continuo o futuro.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| Dirección IP | 20.17.161.118 | VM de Microsoft Azure controlada por el atacante en la región de Malaysia West (AS8075) utilizada como infraestructura C2 y de preparación |
| Nombre de archivo | gen_photo_upload.py | Script de Python utilizado para exfiltrar archivos al punto final de almacenamiento de Cloudflare controlado por el atacante |
| Nombre de archivo | analyze_[REDACTADO].py | Script de Python con credenciales MSSQL integradas utilizado para ejecutar consultas SQL contra el servidor interno del objetivo |
| Nombre de archivo | asset_owner_check.py | Script de Python para inspeccionar y preparar conjuntos de datos de propiedad de activos a través de WinRM para su recolección |
| Nombre de archivo | check_cophoto.py | Script de Python para la enumeración de registros fotográficos basados en MSSQL y validación del tipo de columna |
| Nombre de archivo | deploy.py | Script de Python que contiene la configuración del punto final RPC externo para la ejecución de comandos remotos |
| Nombre de archivo | shell21.py | Script de Python utilizado para cargar una webshell PHP (health.php) en un portal gubernamental malasio |
| Nombre de archivo | health.php | Webshell PHP confirmada como activa en el servidor gubernamental objetivo al momento del análisis |
| Nombre de archivo | laravel_rce.php | Script de exploit PHP que implementa un ataque de RCE de deserialización de Laravel de cinco cadenas |
| Nombre de archivo | beacon.cs | Código fuente de un generador de balizas de malware en C# no revelado previamente |
| Nombre de archivo | listener_http.py | Código fuente de un controlador C2 HTTP basado en Python no revelado previamente |
| Nombre de archivo | h[REDACTADO]_targeted.txt | Archivo de texto que contiene 126 contraseñas de objetivos utilizadas en las operaciones de ataque |
| Nombre de archivo | j[REDACTADO]_dc_SAM | Archivo de colmena SAM del registro de Windows exfiltrado del controlador de dominio |
| Nombre de archivo | j[REDACTADO]_dc_SECURITY | Archivo de colmena SECURITY del registro de Windows exfiltrado del controlador de dominio |
| Nombre de archivo | j[REDACTADO]_dc_SYSTEM | Archivo de colmena SYSTEM del registro de Windows exfiltrado del controlador de dominio |
| Nombre de archivo | j[REDACTADO]_dc_dump.ntds | Archivo de salida de volcado NTDS que confirma la extracción de hashes de credenciales de Active Directory |
Nota: Las direcciones IP y los dominios han sido desestabilizados intencionalmente (por ejemplo, [.]) para evitar la resolución accidental o el enlace directo. Solo vuelve a activarlos dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/attackers-use-cloudflare-storage-endpoint/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.