Amazon recupera dominios usados en campaña fraudulenta de Escritorio remoto

Iniciado por Dragora, Octubre 25, 2024, 02:38:02 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Amazon toma medidas contra el uso de dominios en campañas fraudulentas de Escritorio Remoto para proteger datos

Amazon ha tomado acción en la reciente campaña de ciberespionaje atribuida a APT29, un grupo de amenazas persistentes avanzadas (APT) vinculado a ataques sofisticados. En esta ocasión, el grupo empleó dominios que simulaban pertenecer a Amazon Web Services (AWS) para desplegar una campaña de phishing con el objetivo de capturar credenciales de Windows de usuarios desprevenidos, y no credenciales de AWS como podría pensarse. A través de su servicio de Escritorio Remoto de Microsoft (RDP), APT29 engañó a las víctimas para que se conectaran a servidores controlados por atacantes, comprometiendo así datos sensibles.

La Estrategia de Amazon para Contrarrestar el Fraude

Amazon respondió rápidamente al identificar esta actividad maliciosa, logrando la incautación de varios dominios utilizados por APT29. Estos dominios falsos simulaban servicios de AWS para atraer a los usuarios, aunque el verdadero objetivo del grupo era obtener credenciales de inicio de sesión de Windows. La intervención de Amazon resultó en la interrupción de esta operación, mitigando el riesgo para los usuarios.

Los actores de amenazas de APT29 se especializan en ataques dirigidos a instituciones gubernamentales, organizaciones de investigación y centros de análisis a nivel mundial. Emplean técnicas avanzadas de phishing y malware para infiltrarse y robar información crítica, especialmente de organizaciones consideradas adversarias de Rusia.

Alcance Global de la Campaña de APT29

La campaña de APT29 tuvo un impacto global, y aunque se descubrió inicialmente en Ucrania, se detectaron actividades de esta campaña en varios países, principalmente aquellos que mantienen una postura adversa hacia Rusia. Amazon observó que, a diferencia de las operaciones anteriores, esta campaña apuntó a un número significativamente mayor de objetivos. Este cambio en su enfoque sugiere una posible diversificación en las tácticas de APT29, ampliando su alcance para aumentar las posibilidades de éxito.

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) emitió alertas sobre los archivos adjuntos maliciosos utilizados en esta campaña, catalogados bajo el código "UAC-0215". Estos archivos estaban diseñados para activar conexiones RDP maliciosas, permitiendo a los atacantes obtener acceso a los dispositivos de las víctimas y comprometer la seguridad de sus redes. En los mensajes de phishing, los atacantes usaron temas relacionados con "problemas de integración" con los servicios de Amazon y Microsoft, aludiendo también a la implementación de arquitecturas de seguridad "de confianza cero" o "Zero Trust Architecture" (ZTA), una estrategia que suele despertar el interés en el sector empresarial.

Cómo Funciona la Amenaza de Escritorio Remoto

Los correos electrónicos de APT29 incluían archivos de conexión RDP con nombres engañosos como "Zero Trust Security Environment Compliance Check.rdp". Al abrir estos archivos, las víctimas activaban conexiones directas con los servidores de los atacantes, comprometiendo la seguridad de sus propios dispositivos. Estos archivos de conexión RDP configurados de forma maliciosa compartían automáticamente los recursos locales del dispositivo de la víctima con el servidor RDP de APT29. Entre los recursos comprometidos se encontraban:

  • Discos y archivos locales
  • Recursos de red
  • Impresoras
  • Puertos COM
  • Dispositivos de audio
  • Portapapeles

Además, los atacantes podían aprovechar esta conexión para ejecutar programas y scripts maliciosos en los dispositivos comprometidos, lo que les permitía obtener acceso directo a datos sensibles e incluso instalar software espía para mantener el control de los dispositivos infectados. Según CERT-UA, estos métodos son especialmente peligrosos, ya que permiten a los atacantes mantener una presencia persistente en las redes objetivo.

La Respuesta de Amazon y su Impacto en la Seguridad

Si bien la campaña de APT29 estaba enfocada en la obtención de credenciales de Windows a través de conexiones RDP, el acceso a los recursos locales compartidos brindaba a los atacantes una puerta abierta para robar información adicional. La rápida intervención de Amazon fue crucial para frenar la expansión de esta amenaza, y la incautación de los dominios comprometidos ha sido un paso esencial para mitigar el riesgo de futuros ataques similares.

Con estas acciones, Amazon ha reforzado su compromiso con la ciberseguridad y ha proporcionado un ejemplo para otras grandes organizaciones que enfrentan ataques sofisticados por parte de grupos APT. En un entorno de amenazas en constante evolución, las empresas tecnológicas están llamadas a actuar de manera proactiva para proteger tanto sus sistemas como los de sus usuarios.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta