Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
3842
)
-
▼
mayo
(Total:
539
)
-
Acelera internet desactivando este ajuste de Windows
-
Google Live Translate llegaría al modo offline
-
Claude Code revisa el código antes de entregarlo
-
Crackean Pragmata sin hipervisor
-
Samsung lanza One UI 9 Beta
-
Microsoft advierte que atacantes usan agente de HP...
-
Intel prepara su APU más bestia con Razor Lake-AX:...
-
Cuatro vulnerabilidades en OpenClaw permiten el ro...
-
Filtración de token de GitHub en Grafana permitió ...
-
ASUS entra al mercado de la memoria RAM con su pri...
-
Intel prepara una tercera subida del 20% en sus Xe...
-
Xbox Series X superaría a PS5 en FSR 4.1
-
Apple planea AirPods con IA y cámaras
-
Programadores advierten que la IA atrofia el cerebro
-
Microsoft detalla la arquitectura modular y botnet...
-
ASUS ROG Crosshair 2006: llamativa placa base que ...
-
Explotan vulnerabilidad 0-day en Cisco Catalyst SD...
-
Expertos en seguridad dudan que los atacantes de C...
-
OpenAI confirma brecha de seguridad por ataque de ...
-
Windows 11 y Microsoft Edge, hackeados en Pwn2Own ...
-
Privacidad de tus archivos en NotebookLM
-
Windows 11 mantiene una app de Windows 95
-
ChatGPT busca gestionar tus finanzas
-
Ninguna IA vence al ajedrez
-
Gmail reduce espacio de 15 a 5 GB en cuentas nuevas
-
Vulnerabilidad crítica de Next.js expone credencia...
-
Google presenta la función Puntero mágico para tra...
-
Explotan vulnerabilidad CVE-2026-42897 en Microsof...
-
Meta agota agua en Georgia y apunta a Talavera
-
Vulnerabilidad crítica en el plugin Funnel Builder...
-
CISA incluye la vulnerabilidad CVE-2026-20182 de C...
-
Aprovechan vulnerabilidad de bypass de autenticaci...
-
ChatGPT ahora es tu gestor financiero
-
Explotados Zero-Days de Microsoft Exchange, Window...
-
Grupo Sandworm pasan de sistemas IT a activos OT c...
-
Grupos chinos vulneran sector energético vía Micro...
-
ClickFix evoluciona con proxy SOCKS5 de Python de ...
-
Fallo crítico de Linux ‘ssh-keysign-pwn’ expone cl...
-
PSN: Cuentas vulnerables pese a seguridad avanzada
-
Bienvenidos al vulnpocalipsis, donde la IA acelera...
-
Apple critica la normativa de IA de la UE
-
Explotan 0-day en PAN-OS de Palo Alto para ejecuta...
-
OpenAI amenazaría con demandar a Apple
-
Vulnerabilidad crítica en plugin de WordPress ➡️ F...
-
Cisco alerta sobre vulnerabilidad crítica de SD-WA...
-
Todo sobre el iPhone 18 Pro
-
CNMV advierte riesgos de la IA como asesor financiero
-
La NASA sube a Internet más de 11.000 imágenes tom...
-
Claude Code anticipará tus necesidades antes que tú
-
FBI advierte sobre peligros de puertos USB públicos
-
Grupo kTeamPCP y BreachForums ofrecen 1.000 $ por ...
-
Vulneran 170 paquetes npm para robar secretos de G...
-
Explotan vulnerabilidad de salto de autenticación ...
-
NVIDIA crea IA que aprende sola
-
IA de Anthropic halla fallos de seguridad en macOS
-
Paquete node-ipc de npm comprometido en ataque de ...
-
OpenAI confirma brecha de seguridad por ataque a l...
-
Fallos en el plugin Avada Builder de WordPress per...
-
Nuevo malware permite control de pantalla, acceso ...
-
Vulnerabilidad crítica en Canon MailSuite permite ...
-
Descubren una nueva amenaza que pone en riesgo Mic...
-
Hackean Microsoft Edge, Windows 11 y LiteLLM en Pw...
-
Vibeathon: el hackathon donde no hace falta programar
-
Vulnerabilidades en el controlador JDBC de Amazon ...
-
Microsoft: la IA puede generar líneas de comandos ...
-
Ghostwriter lanza ataques de phishing con PDF geol...
-
Alumno hackea a profesor para entrar en EducaMadrid
-
IA Claude recupera 350.000 euros en Bitcoin olvida...
-
Vulnerabilidades críticas en GitLab permiten ataqu...
-
Alza de precios en DRAM y NAND Flash
-
Fedora Hummingbird busca un sistema operativo dist...
-
Shai-Hulud: ataque a la cadena de suministro compr...
-
Nueva vulnerabilidad en Fragnesia Linux permite ob...
-
Hermes: el nuevo agente de IA open source
-
IA: el riesgo energético equivale a 23 bombas nucl...
-
Madrid impulsa su conexión y se consolida como hub...
-
Para obtener acceso de root en esta empresa, un in...
-
3 fallos graves en bases de datos MCP, uno de ello...
-
Vulnerabilidad en Cliente DNS de Windows permite e...
-
Vulnerabilidad de día cero en Windows BitLocker pe...
-
Cisco despedirá a 4.000 empleados y les ofrecerá c...
-
NVIDIA llevará centros de datos de IA al espacio
-
The Gentlemen RaaS usa dispositivos Cisco y Fortin...
-
Error de Amazon Quick expuso chats de IA a usuario...
-
WhatsApp añade conversaciones privadas con la IA
-
Actualizaciones de Dell SupportAssist causan bucle...
-
Vulnerabilidad crítica de NGINX de 18 años permite...
-
NVIDIA consigue el permiso de Trump para vender la...
-
Vulnerabilidad crítica de MongoDB permite ejecutar...
-
PS5 y Xbox Series X: ¿agotadas o infrautilizadas?
-
Configura varias VLAN para segmentar la red en un ...
-
En Japón, los SSD han aumentado su precio en casi ...
-
Un exploit zero-day llamado YellowKey permite abri...
-
Packagist pide actualizar Composer tras filtración...
-
Demanda colectiva a OpenAI por compartir datos de ...
-
Vulnerabilidad Fragnesia en Linux permite acceso r...
-
Microsoft prioriza Windows 11 sobre Windows 12
-
Un buen relato biográfico de Kevin Mitnick, probab...
-
Móviles de 2.000 euros por el nuevo Snapdragon 8 E...
-
GTA VI: precompra inminente
-
-
▼
mayo
(Total:
539
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Noctua presenta el nuevo ventilador NF-A12x25 G2 chromax.black , que combina un diseño elegante en negro con la máxima refrigeración y baj... -
Es muy probable que el próximo email que recibas no esté escrito por una persona. Da igual si usas Gmail, Outlook o cualquier alternativa si... -
Un ataque de cadena de suministro a gran escala ha alertado a los desarrolladores de software en todo el mundo, después que comprometieran ...
Microsoft advierte que atacantes usan agente de HPE para intrusiones sin malware
Una intrusión reciente descubierta por investigadores de seguridad reveló una campaña de ataque calculada que utilizó una herramienta de gestión empresarial legítima como arma.
El actor de la amenaza obtuvo acceso a través de un proveedor de servicios de TI externo comprometido y luego se movió silenciosamente por el entorno de la víctima utilizando herramientas que ya estaban aprobadas y en funcionamiento.
No se desplegó ningún malware obvio y no se activaron alertas ruidosas en ninguna etapa del ataque.
Los investigadores de Respuesta a Incidentes de Microsoft analizaron la cadena completa del ataque y publicaron sus hallazgos, señalando que la campaña abusó del HPE Operations Agent (OA), una herramienta de monitoreo empresarial ampliamente utilizada, como su mecanismo principal de entrega.
Microsoft dijo en un informe compartido con Cyber Security News (CSN) que el abuso no implicó ninguna falla o vulnerabilidad en el propio HPE OA.
La herramienta fue simplemente convertida en arma porque ya tenía un acceso legítimo y confiable en todo el entorno objetivo.
La campaña se extendió durante más de 100 días, desde la intrusión inicial hasta el momento en que finalmente se activó la respuesta a incidentes.
Atacantes utilizando el agente de confianza HPE Operations Agent
Durante ese tiempo, los atacantes recolectaron credenciales, se movieron lateralmente a través de sistemas sensibles, incluidos controladores de dominio y servidores SQL, y establecieron túneles encubiertos utilizando ngrok para mantener un acceso persistente sin ser detectados.
Dado que toda la actividad fluía a través de un canal de gestión confiable, se mezcló a la perfección con el trabajo administrativo rutinario y permaneció fuera del radar durante un período prolongado.
La escala y la paciencia de esta campaña resaltan un cambio más amplio en la forma en que operan los atacantes sofisticados hoy en día.
.webp)
Ya no se miden por la sofisticación de su malware, sino por la eficacia con la que pueden desaparecer dentro de un entorno confiable y permanecer allí sin ser detectados durante meses.
El actor de la amenaza explotó la confianza depositada en HPE Operations Manager (HPOM), que era gestionado por un proveedor de servicios de TI externo en nombre de la organización afectada.
Desde esa posición, el atacante envió VBScripts, específicamente un archivo llamado abc003.vbs, a múltiples servidores, incluidos servidores web y controladores de dominio en todo el entorno.
Estos scripts recopilaron silenciosamente información del sistema, mapearon la red y realizaron el descubrimiento de Active Directory.
Dado que los scripts se ejecutaron a través de una plataforma de gestión aprobada y firmada, ninguna herramienta de seguridad dio la alarma.
.webp)
El atacante también desplegó web shells llamadas Errors.aspx y una versión modificada de Signoff.aspx en servidores orientados a internet, creando puertas traseras persistentes que permanecían activas incluso si otras herramientas individuales eran descubiertas y eliminadas del sistema.
Tácticas de robo de credenciales y movimiento lateral
Una vez dentro, los atacantes centraron su atención en robar credenciales directamente en la fuente. Registraron una DLL de proveedor de red maliciosa llamada mslogon.dll en los controladores de dominio, que se enganchó al proceso de autenticación de Windows y capturó nombres de usuario y contraseñas en texto plano cada vez que un usuario iniciaba sesión o cambiaba su contraseña.
Las credenciales robadas se guardaban silenciosamente en una ruta de archivo dentro de una carpeta de música pública, facilitando su recuperación posterior sin llamar la atención.
Más adelante en la campaña, también se registró una DLL de filtro de contraseñas llamada passms.dll en dos controladores de dominio, interceptando credenciales a nivel de sistema cada vez que se modificaba una contraseña.
.webp)
Un módulo complementario llamado msupdate.dll trabajó junto a él para transferir los datos capturados a través de un recurso compartido de archivos de red e incluso tenía la capacidad de enviar las credenciales robadas por correo electrónico bajo el asunto “Update Service”.
El atacante también desplegó ngrok en servidores internos para crear túneles cifrados, permitiendo sesiones de Protocolo de Escritorio Remoto (RDP) sin necesidad de exponer puertos del firewall.
Microsoft recomienda que las organizaciones desplieguen herramientas de detección y respuesta de endpoints (EDR) en todos los dispositivos y apliquen un modelo de denegación por defecto para el tráfico saliente a fin de bloquear conexiones no autorizadas.
También aconsejan habilitar el registro detallado en los servidores web, eliminar herramientas y software innecesarios que puedan ser abusados y monitorear activamente cambios inesperados en las configuraciones de autenticación, como los paquetes de notificación LSA y los registros de proveedores de red, para detectar este tipo de abuso sigiloso antes de que cause más daños.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| Nombre de archivo | abc003.vbs | VBScript desplegado vía HPE Operations Manager para descubrimiento de sistema, red y AD |
| Nombre de archivo | Errors.aspx | Web shell inicial desplegada en servidores web WEB-01 y WEB-02 orientados a internet |
| Nombre de archivo | Signoff.aspx | Página de aplicación legítima modificada para cargar una web shell secundaria |
| Nombre de archivo | ghost.inc | Web shell secundaria cargada desde el directorio temporal de Windows |
| Nombre de archivo | mslogon.dll | DLL de proveedor de red maliciosa registrada en controladores de dominio para capturar credenciales en texto plano |
| Nombre de archivo | passms.dll | DLL de filtro de contraseñas maliciosa registrada en DC01 y DC02 para interceptar credenciales durante cambios de contraseña |
| Nombre de archivo | msupdate.dll | Módulo complementario que transfería datos de credenciales codificados vía SMB y exfiltración por correo electrónico |
| Ruta de archivo | C:\Users\Public\Music\abc123c.d | Ruta de archivo donde se almacenaban las credenciales en texto plano capturadas por mslogon.dll |
| Ruta de archivo | C:\ProgramData\WindowsUpdateService\UpdateDir\Ipd | Ruta de archivo donde se escribían los datos de credenciales codificados capturados por passms.dll |
| Nombre de archivo | icon02.jpeg | Nombre de archivo utilizado para disfrazar los datos de credenciales exfiltrados escritos en recursos SMB remotos |
| Herramienta | ngrok | Herramienta de tunelización legítima abusada para exponer servidores internos vía túneles RDP cifrados |
| Asunto de Email | Update Service | Línea de asunto utilizada por msupdate.dll para la exfiltración saliente de credenciales vía SMTP |
Nota: Las direcciones IP y los dominios se han desarmado intencionadamente (por ejemplo, [.]) para evitar la resolución accidental o el hipervínculo. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/microsoft-warns-of-attackers-using-trusted-hpe-operations-agent/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.