Etiqueta: Seguridad de la red Página 4 de 16

sep 03, 2025Ravie Lakshmanartificial Inteligencia / amenaza de vulnerabilidad Los actores están intentando aprovechar una herramienta de seguridad ofensiva de inteligencia artificial (IA) recientemente lanzada llamada Hexstrike AI para explotar los defectos de seguridad recientemente revelados. Hexstrike AI, según su sitio web, se presenta como una plataforma de seguridad impulsada por la IA para automatizar el reconocimiento y el descubrimiento de vulnerabilidad con el objetivo de acelerar las operaciones autorizadas de equipo rojo, la caza de recompensas de errores y capturar los desafíos de la bandera (CTF). Según la información compartida en su repositorio de GitHub, la plataforma de código abierto se integra con más de 150 herramientas de seguridad para facilitar el reconocimiento de la red, las pruebas de seguridad de aplicaciones web, la ingeniería inversa y la seguridad en la nube. También admite docenas de agentes especializados de IA que están ajustados para la inteligencia de vulnerabilidad, el desarrollo de explotación, el descubrimiento de la cadena de ataque y el manejo de errores. Pero según un informe de Check Point, los actores de amenaza están probando la herramienta para obtener una ventaja adversaria, intentando armarse la herramienta para explotar las vulnerabilidades de seguridad recientemente reveladas. «Este marca un momento crucial: se afirma que una herramienta diseñada para fortalecer las defensas se reutiliza rápidamente en un motor para su explotación, cristalizando conceptos anteriores en una plataforma ampliamente disponible que impulsa ataques del mundo real», dijo la compañía de seguridad cibernética. Las discusiones sobre los foros de Ciber -Crime Darknet muestran que los actores de amenaza afirman haber explotado con éxito los tres defectos de seguridad que Citrix reveló la semana pasada utilizando Hexstrike AI y, en algunos casos, incluso los casos de Netscaler aparentemente vulnerables que luego se ofrecen a otros criminales para la venta. Check Point dijo que el uso malicioso de tales herramientas tiene importantes implicaciones para la ciberseguridad, no solo reduciendo la ventana entre la divulgación pública y la explotación masiva, sino también ayuda a la paralelización de la automatización de los esfuerzos de explotación. Además, reduce el esfuerzo humano y permite volver a intentar automáticamente los intentos de explotación fallidos hasta que tengan éxito, que según la compañía de seguridad cibernética aumenta el «rendimiento de explotación general». «La prioridad inmediata es clara: parche y endurece los sistemas afectados», agregó. «Hexstrike AI representa un cambio de paradigma más amplio, donde la orquestación de IA se utilizará cada vez más para armarse vulnerabilidades rápidamente y a escala». La divulgación se produce cuando dos investigadores de Alias ​​Robotics y Oracle Corporation dijeron en un estudio recientemente publicado que los agentes de ciberseguridad con IA como PentestGPT llevan riesgos de inyección inmediata, convirtiendo efectivamente las herramientas de seguridad en armas cibernéticas a través de instrucciones ocultas. «El cazador se convierte en el cazado, la herramienta de seguridad se convierte en un vector de ataque, y lo que comenzó como una prueba de penetración termina con el atacante que obtiene acceso de conchas a la infraestructura del probador», dijeron los investigadores Víctor Vilches de alcalde y Per Mannermaa Rynning. «Los agentes de seguridad actuales basados ​​en LLM son fundamentalmente inseguros para la implementación en entornos adversos sin medidas defensivas integrales».

sep 02, 2025Ravie Lakshmananmalware / Inteligencia de amenazas El actor de amenaza vinculado a Corea del Norte conocido como el Grupo Lazarus se ha atribuido a una campaña de ingeniería social que distribuye tres piezas diferentes de malware de plataforma cruzada llamada Pondrat, ThingEforestrat y Remotepe. El ataque, observado por FOX-IT del grupo NCC en 2024, atacó a una organización en el sector de finanzas descentralizadas (DEFI), lo que finalmente condujo al compromiso del sistema de un empleado. «A partir de ahí, el actor realizó un descubrimiento desde el interior de la red utilizando diferentes ratas en combinación con otras herramientas, por ejemplo, para cosechar credenciales o conexiones proxy», dijeron Yun Zheng Hu y Mick Koomen. «Posteriormente, el actor se mudó a una rata más sigilosa, lo que probablemente significa una siguiente etapa en el ataque». La cadena de ataque comienza con el actor de amenaza que se hace pasar por un empleado existente de una compañía comercial en Telegram y utilizando sitios web falsos disfrazados de calendamente y Picktime para programar una reunión con la víctima. Aunque actualmente no se conoce el vector de acceso inicial exacto, el punto de apoyo se aprovecha para implementar un cargador llamado PerfhLoader, que luego deja caer Pondrat, un malware conocido evaluado como una variante despojada de PoolRat (también conocida como simplesea). La compañía de ciberseguridad dijo que hay alguna evidencia que sugiere que se usó un exploit de día cero en el navegador Chrome en el ataque. También se entregan junto con Pondrat se encuentran una serie de otras herramientas, que incluyen una captura de pantalla, Keylogger, Chrome Credential y Cookie Stealer, Mimikatz, FRPC y programas proxy como MidProxy y Proxy Mini. «Pondrat es una rata sencilla que permite que un operador lea y escriba archivos, inicie los procesos y ejecute ShellCode», dijo Fox-It, y agregó que se remonta a al menos 2021. «El actor usó Pondrat en combinación con theoforestrat durante aproximadamente tres meses, a la limpieza e instalar la rata más sofistada llamada Remotepe». El malware Pondrat está diseñado para comunicarse a través de HTTP (S) con un servidor de comando y control de codificación (C2) codificada para recibir más instrucciones, con ThmeForStat lanzado directamente en la memoria, ya sea a través de Pondrat o un cargador dedicado. ThmeforStatrat, como Pondrat, monitores para nuevas sesiones de escritorio remoto (RDP) y contacta a un servidor C2 a través de HTTP (s) para recuperar hasta los veinte comandos para enumerar archivos/directorios, realizar operaciones de archivos, ejecutar comandos, probar la conexión TCP, el archivo TimestOmp basado en otro archivo en disco, obtener la lista de procesos, descargar archivos, inyectores shellcode, spwning y spebernate y spbernate y spbernate y spebernat cantidad específica de tiempo. Fox-IT dijo que ThemeforStat comparte similitudes con un Romeogolf con nombre en código de malware que fue utilizado por el Grupo Lázaro en el ataque destructivo de limpiaparabrisas de noviembre de 2014 contra Sony Pictures Entertainment (SPE). Fue documentado por Novetta como parte de un esfuerzo de colaboración conocido como Operación Blockbuster. Remotepe, por otro lado, es recuperado de un servidor C2 por Remotepeloader, que, a su vez, está cargado por DPAPILOADER. Escrito en C ++, Remotepe es una rata más avanzada que probablemente esté reservada para objetivos de alto valor. «Pondrat es una rata primitiva que proporciona poca flexibilidad, sin embargo, como una carga útil inicial, logra su propósito», dijo Fox-It. «Para tareas más complejas, el actor usa theforestrat, que tiene más funcionalidad y permanece bajo el radar a medida que se carga solo en la memoria».

Sep 02, 2025  La privacidad de los Datos del Hacker Privacy / SaaS Security Las duras verdades de AI Adoption MITS State of AI en el informe comercial revelaron que, si bien el 40% de las organizaciones han comprado suscripciones de Enterprise LLM, más del 90% de los empleados usan activamente herramientas de IA en su trabajo diario. Del mismo modo, la investigación de la seguridad armónica encontró que el 45.4% de las interacciones de IA sensibles provienen de cuentas de correo electrónico personales, donde los empleados están evitando por completo los controles corporativos. Esto, comprensiblemente, ha llevado a muchas preocupaciones en torno a una creciente «economía de IA de sombra». Pero, ¿qué significa eso y cómo pueden los equipos de gobernanza de seguridad y AI superar estos desafíos? Póngase en contacto con Harmonic Security para obtener más información sobre el descubrimiento de la IA Shadow y hacer cumplir su política de uso de IA. El uso de la IA está impulsado por empleados, no las empresas de los comités, las empresas consideran incorrectamente el uso de la IA como algo que viene de arriba hacia abajo, definido por sus propios líderes empresariales visionarios. Ahora sabemos que eso está mal. En la mayoría de los casos, los empleados conducen la adopción de abajo hacia arriba, a menudo sin supervisión, mientras que los marcos de gobernanza todavía se están definiendo de arriba hacia abajo. Incluso si tienen herramientas sancionadas por la empresa, a menudo las evitan a favor de otras herramientas más nuevas que están mejor ubicadas para mejorar su productividad. A menos que los líderes de seguridad entiendan esta realidad, descubren y rigen esta actividad, están exponiendo el negocio a riesgos significativos. Por qué el bloqueo falla, muchas organizaciones han tratado de enfrentar este desafío con una estrategia de «bloquear y esperar». Este enfoque busca restringir el acceso a plataformas de IA conocidas y la adopción de esperanza se desacelera. La realidad es diferente. La IA ya no es una categoría que se puede cercar fácilmente. Desde aplicaciones de productividad como Canva y Grammarly hasta herramientas de colaboración con asistentes integrados, la IA se entrelaza en casi todas las aplicaciones SaaS. Bloquear una herramienta solo lleva a los empleados a otro, a menudo a través de cuentas personales o dispositivos de inicio, dejando a la empresa a ciegas a un uso real. Este no es el caso para todas las empresas, por supuesto. Los equipos de seguridad y gobernanza de IA de avance están buscando comprender de manera proactiva lo que los empleados están utilizando y para qué casos de uso. Buscan comprender lo que está sucediendo y cómo ayudar a sus empleados a usar las herramientas de la manera más segura posible. Shadow AI Discovery como un imperativo de gobernanza Un inventario de activos AI es un requisito regulatorio y no es agradable de tener. Los marcos como la Ley de la UE AI exigen explícitamente a las organizaciones a mantener la visibilidad de los sistemas de IA en uso, porque sin descubrimiento no hay inventario, y sin un inventario no puede haber gobernanza. Shadow AI es un componente clave de esto. Diferentes herramientas de IA plantean diferentes riesgos. Algunos pueden entrenar silenciosamente en datos propietarios, otros pueden almacenar información confidencial en jurisdicciones como China, creando exposición a la propiedad intelectual. Para cumplir con las regulaciones y proteger el negocio, los líderes de seguridad primero deben descubrir el alcance completo del uso de la IA, abarcar cuentas empresariales sancionadas y las personales no autorizadas. Una vez armado con esta visibilidad, las organizaciones pueden separar casos de uso de bajo riesgo de aquellos que involucran datos confidenciales, flujos de trabajo regulados o exposición geográfica. Solo entonces pueden hacer cumplir políticas de gobierno significativas que protejan los datos y permitan la productividad de los empleados. La forma en que la seguridad armónica ayuda a la seguridad armónica permite este enfoque al ofrecer controles de inteligencia para el uso de la IA de los empleados. Esto incluye el monitoreo continuo de la IA de la sombra, con evaluaciones de riesgos estándar para cada aplicación. En lugar de confiar en las listas de bloques estáticos, Harmonic proporciona visibilidad tanto en el uso de IA sancionado como no autorizado, luego aplica políticas inteligentes basadas en la sensibilidad de los datos, el papel del empleado y la naturaleza de la herramienta. Eso significa que se puede permitir que un equipo de marketing ponga información específica en herramientas específicas para la creación de contenido, mientras que los equipos de recursos humanos o legales están restringidos del uso de cuentas personales para la información confidencial de los empleados. Esto está respaldado por modelos que pueden identificar y clasificar la información a medida que los empleados comparten los datos. Esto permite a los equipos hacer cumplir las políticas de IA con la precisión necesaria. El camino hacia adelante Shadow Ai está aquí para quedarse. A medida que más aplicaciones SaaS incrustan la IA, el uso no administrado solo se expandirá. Las organizaciones que no abordan el descubrimiento hoy no pueden gobernar mañana. El camino a seguir es gobernarlo de manera inteligente, en lugar de bloquearlo. Shadow AI Discovery le da a CISOS la visibilidad que necesitan para proteger los datos confidenciales, cumplir con los requisitos reglamentarios y capacitar a los empleados para aprovechar los beneficios de productividad de manera segura. La seguridad armónica ya está ayudando a las empresas a dar el siguiente paso en la gobernanza de la IA. Para CISO, ya no se trata de si los empleados están usando Shadow AI … es si puedes verlo. ¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Síguenos en Google News, Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

sep 02, 2025Ravie Lakshmanancryptocurrency / malware Los investigadores de seguridad cibernética han descubierto un paquete de NPM malicioso que viene con características sigilosas para inyectar código malicioso en aplicaciones de escritorio para billeteras de criptomonedas como Atomic y Exodus en los sistemas de Windows. El paquete, llamado NodeJS-SMTP, se hace pasar por el Legitimate Correo electrónico Biblioteca Nodemailer con un eslogan idéntico, un estilo de página y descripciones de lectura, atrayendo un total de 347 descargas desde que fue subido al Registro NPM en abril de 2025 por un usuario llamado «Nikotimon». Actualmente ya no está disponible. «En la importación, el paquete utiliza herramientas de electrones para desempacar la aplicación Atomic Wallet. El objetivo principal es sobrescribir la dirección del destinatario con billeteras con codificación dura controladas por el actor de amenazas, redirigir bitcoin (BTC), ethereum (ETH), atado (USDT y TRX USDT), XRP (XRP) y transacciones de Solana (SOL), actuando efectivamente como un clipper de criptoria. Dicho esto, el paquete ofrece su funcionalidad establecida al actuar como un correo basado en SMTP en un intento por evitar aumentar las sospechas de los desarrolladores. El paquete todavía funciona como un correo y expone una interfaz de entrega compatible con NodEmailer. Esa cubierta funcional reduce la sospecha, permite que las pruebas de aplicación pasen y les da a los desarrolladores pocas razones para cuestionar la dependencia. El desarrollo se produce meses después de que ReversingLabs descubrió un paquete NPM llamado «PDF-to-office» que alcanzó los mismos objetivos al desempacar los archivos «App.Asar» asociados con billeteras atómicas y exodus y modificando dentro de ellos un archivo JavaScript para introducir la función de Clipper. «Esta campaña muestra cómo una importación de rutina en una estación de trabajo de un desarrollador puede modificar silenciosamente una aplicación de escritorio separada y persistir en reinicios», dijo Boychenko. «Al abusar de la ejecución del tiempo de importación y el envasado de electrones, un cartelero del aspecto parecido se convierte en un drenador de billetera que altera Atomic y Exodus en los sistemas de Windows comprometidos».

sep 01, 2025Ravie Lakshmanananmobile Seguridad / incalviente ciberseguridad Los investigadores están llamando la atención sobre un nuevo cambio en el panorama de malware de Android, donde las aplicaciones de gotero, que generalmente se utilizan para ofrecer troyanos bancarios, también distribuyen malware más simple como los escaladores de SMS y el software básico. Estas campañas se propagan a través de aplicaciones de gotero disfrazadas de aplicaciones gubernamentales o bancarias en India y otras partes de Asia, dijo Amenazfabric en un informe la semana pasada. La firma de seguridad móvil holandesa dijo que el cambio está impulsado por las recientes protecciones de seguridad que Google ha puesto a prueba en mercados seleccionados como Singapur, Tailandia, Brasil e India para bloquear la respuesta lateral de aplicaciones potencialmente sospechosas que solicitan permisos peligrosos como mensajes SMS y servicios de accesibilidad, un entorno fuertemente abusado para llevar a cabo acciones maliciosas en dispositivos de androides. «Las defensas de Google Play Protect, particularmente el programa piloto objetivo, son cada vez más efectivos para detener aplicaciones arriesgadas antes de que se ejecuten», dijo la compañía. «En segundo lugar, los actores quieren impulsar en el futuro sus operaciones». «Al encapsular incluso las cargas útiles básicas dentro de un gotero, obtienen un caparazón protector que puede evadir los cheques de hoy mientras se mantienen lo suficientemente flexibles como para intercambiar cargas útiles y campañas de pivote mañana». Amensefabric dijo que si bien la estrategia de Google aumenta la apuesta al bloquear una aplicación maliciosa de ser instalada incluso antes de que un usuario pueda interactuar con ella, los atacantes están probando nuevas formas de evitar las salvaguardas, una indicación del juego interminable de Whack-a-Mole cuando se trata de seguridad. Esto incluye el diseño de goteros, teniendo en cuenta el programa piloto de Google, para que no busquen permisos de alto riesgo y solo sirvan una pantalla inofensiva de «actualización» que puede volar más allá del escaneo en las regiones. Pero es solo cuando el usuario hace clic en el botón «Actualizar» que la carga útil real se obtiene de un servidor externo o desempaquetado, que luego procede a buscar los permisos necesarios para cumplir con sus objetivos. «Play Protect puede mostrar alertas sobre los riesgos, como parte de un escaneo diferente, pero mientras el usuario las acepte, la aplicación está instalada y la carga útil se entrega», dijo Amenazfabric. «Esto ilustra una brecha crítica: Play Protect todavía permite aplicaciones de riesgo a través de si el usuario hace clic en la instalación de todos modos, y el malware aún se desliza a través del programa piloto». Uno de esos cuenteros es recompensas que se ha encontrado que sirve junto con las cargas de spyware un minero de criptomonedas Monero que puede activarse de forma remota. Sin embargo, las variantes recientes de la herramienta ya no incluyen la funcionalidad del minero. Algunas de las aplicaciones maliciosas entregadas a través de recompensasDropMiner, todos los usuarios de orientación en la India, se enumeran a continuación – PM Yojana 2025 (com.fluvdp.hrzmkgi) ° rto challan (com.epr.fnroyex) sbi en línea (com.qmwownic.eqmff) axis (com.tolqppj.yqmralytfzfzrrrxrrrrxrrrxrrxrrxrrxrra) La protección del juego desencadenante o el programa piloto incluye Securidropper, Zombinder, BrokeWelldropper, Hiddencatdropper y Tiramisudropper. Cuando se le contactó para hacer comentarios, Google le dijo a Hacker News que no ha encontrado ninguna aplicación que use estas técnicas distribuidas a través de Play Store y que constantemente agrega nuevas protecciones. «Independientemente de de dónde proviene una aplicación, incluso si está instalada por una aplicación ‘Dropper’, Google Play Protect ayuda a mantener a los usuarios seguros al verificarlo automáticamente las amenazas», dijo un portavoz. «La protección contra estas versiones de malware identificadas ya estaba en su lugar a través de Google Play Protect antes de este informe. Según nuestra detección actual, no se han encontrado aplicaciones que contengan estas versiones de este malware en Google Play. Estamos mejorando constantemente nuestras protecciones para ayudar a los usuarios a salvo de malos actores». El desarrollo se produce cuando Bitdefender Labs advirtió sobre una nueva campaña que usa anuncios maliciosos en Facebook para vender una versión premium gratuita de la aplicación TradingView para Android para que finalmente desplegue una versión mejorada del troyano de banca Brokwell para monitorear, controlar y robar información confidencial del dispositivo de la víctima. No menos de 75 anuncios maliciosos se han publicado desde el 22 de julio de 2025, llegando a decenas de miles de usuarios solo en la Unión Europea. La ola de Attack Android es solo una parte de una operación de malvertimiento más grande que ha abusado de los anuncios de Facebook para dirigir también a los escritorios de Windows bajo la apariencia de varias aplicaciones financieras y de criptomonedas. «Esta campaña muestra cómo los ciberdelincuentes están ajustando sus tácticas para mantenerse al día con el comportamiento del usuario», dijo la compañía rumana de ciberseguridad. «Al atacar a los usuarios móviles y disfrazar el malware como herramientas comerciales de confianza, los atacantes esperan aprovechar la creciente dependencia de las aplicaciones criptográficas y las plataformas financieras».

Los investigadores de seguridad cibernética han descubierto una nueva campaña de phishing realizada por el grupo de piratería vinculado a Corea del Norte llamado Scarcruft (también conocido como APT37) para entregar un malware conocido como Rokrat. La actividad ha sido con nombre en código Operación Hankook Phantom por Seqrite Labs, afirmando que los ataques parecen dirigirse a las personas asociadas con la Asociación Nacional de Investigación de Inteligencia, incluidas las cifras académicas, los ex funcionarios gubernamentales e investigadores. «Los atacantes probablemente apuntan a robar información confidencial, establecer persistencia o realizar espionaje», dijo el investigador de seguridad Dixit Panchal en un informe publicado la semana pasada. El punto de partida de la cadena de ataque es un correo electrónico de phishing de lanza que contiene un señuelo para el «Boletín de la Sociedad Nacional de Investigación de Inteligencia: el tema 52», un boletín periódico emitido por un grupo de investigación surcoreano centrado en la inteligencia nacional, las relaciones laborales, la seguridad y los problemas de energía. La misiva digital contiene un archivo adjunto de archivo zip que contiene un atajo de Windows (LNK) disfrazado de documento PDF, que, cuando se abre, lanza el boletín como un señuelo mientras deja caer a Rokrat en el host infectado. Rokrat es un malware conocido asociado con APT37, con la herramienta capaz de recopilar información del sistema, ejecutar comandos arbitrarios, enumerando el sistema de archivos, capturar capturas de pantalla y descargar cargas útiles adicionales. Los datos recopilados se exfiltran a través de Dropbox, Google Cloud, PCloud y Yandex Cloud. Seqrite dijo que detectó una segunda campaña en la que el archivo LNK sirve como un conducto para un script de PowerShell que, además de dejar un documento de Microsoft Word de señuelo, ejecuta un script de lotes de Windows ofuscado que es responsable de desplegar un cuentagotas. El binario luego ejecuta una carga útil de la próxima etapa para robar datos confidenciales del host comprometido mientras oculta el tráfico de la red como una carga de archivo Chrome. El documento de señuelo utilizado en este caso es una declaración emitida por Kim Yo Jong, subdirector del Departamento de Publicidad e Información del Partido de los Trabajadores de Corea y, con fecha del 28 de julio, rechazando los esfuerzos de Seúl en la reconciliación. «El análisis de esta campaña destaca cómo Apt37 (escorruft/Inkysquid) continúa empleando ataques de phishing de lanza altamente personalizados, aprovechando cargadores LNK maliciosos, ejecución de PowerShell sin fila y mecanismos de exfiltración encubiertos», dijo Panchal. «Los atacantes apuntan específicamente a los sectores gubernamentales de Corea del Sur, instituciones de investigación y académicos con el objetivo de la recopilación de inteligencia y el espionaje a largo plazo». El desarrollo se produce cuando la compañía cibernética Qianxin ataques detallados montados por el infame Lázaro Group (también conocido como Qianxin) utilizando tácticas de estilo ClickFix para engañar a los buscadores de empleo en la descarga de una supuesta actualización relacionada con Nvidia para abordar problemas de cámara o micrófono al proporcionar una evaluación de video. Los detalles de esta actividad fueron revelados previamente por Gen Digital a fines de julio de 2025. El ataque de ClickFix da como resultado la ejecución de un script de Visual Basic que conduce a la implementación de Beaverail, un robador de JavaScript que también puede entregar una puerta trasera basada en Python doblada InvisibleFerret. Además, los ataques allanan el camino para una puerta trasera con la ejecución de comandos y las capacidades de lectura/escritura de archivos. La divulgación también sigue a nuevas sanciones impuestas por el Departamento de Control de Activos Extranjeros (OFAC) del Departamento de Tesoro de los Estados Unidos contra dos individuos y dos entidades para su papel en el esquema de trabajadores de la Tecnología de la Información Remota de Corea del Norte (TI) para generar ingresos ilícitos para las armas de destrucción de masas y los programas de misiles balísticos del régimen. El Grupo Chollima, en un informe publicado la semana pasada, detalló su investigación sobre un clúster de trabajadores de TI afiliado con Moonstone Sleet que rastrea como Babylongroup en relación con un juego Blockchain Play-to Earn (P2E) llamado Defitankland. Se evalúa que Logan King, el supuesto CTO de Defitankland, es en realidad un trabajador de TI de Corea del Norte, una hipótesis reforzada por el hecho de que la cuenta GitHub de King ha sido utilizada como referencia por un freelancer y desarrollador de blockchain ucraniano llamado «Ivan Kovch». «Muchos miembros habían trabajado previamente en un gran proyecto de criptomonedas en nombre de una compañía sombreada llamada ICICB (que creemos que es un frente), que uno de los miembros que no son DPRK del clúster dirigen el mercado de delitos cibernéticos chinos, y una conexión interesante entre Detankzone y un trabajador de TI mayor que anteriormente operaba fuera de Tanzania», dijo el grupo Chollima Group. «Si bien el CEO de Defitankland, Nabil Amrani, ha trabajado anteriormente con Logan en otros proyectos de blockchain, no creemos que sea responsable de ninguno de los desarrollos. Todo esto significa que el juego» legítimo «detrás de la detankzone de Moonstone Sleet fue desarrollado de hecho por los trabajadores de TI de DPRK, solo para ser recogido y utilizado por un grupo de aptos de Cornean del Norte».

Aug 29, 2025  Las plataformas de IA generativas de seguridad de inteligencia / inteligencia artificial de Hacker NewsEnterprise, como ChatGPT, Gemini, Copilot y Claude, son cada vez más comunes en las organizaciones. Si bien estas soluciones mejoran la eficiencia en todas las tareas, también presentan una nueva prevención de fugas de datos para desafíos generativos de IA. La información confidencial se puede compartir a través de las indicaciones de chat, los archivos cargados para resumir la IA o los complementos del navegador que evitan los controles de seguridad familiares. Los productos DLP estándar a menudo no registran estos eventos. Las soluciones como la detección y respuesta de Fidelis Network® (NDR) introducen la prevención de pérdida de datos basada en la red que pone en control la actividad de IA. Esto permite a los equipos monitorear, hacer cumplir las políticas y auditar el uso de Genai como parte de una estrategia más amplia de prevención de pérdidas de datos. Por qué la prevención de la pérdida de datos debe evolucionar para la prevención de la pérdida de datos de Genai para la IA generativa requiere un enfoque cambiante desde los puntos finales y los canales aislados hasta la visibilidad en toda la ruta del tráfico. A diferencia de las herramientas anteriores que se basan en escanear correos electrónicos o acciones de almacenamiento, las tecnologías NDR como Fidelis identifican las amenazas a medida que atraviesan la red, analizando los patrones de tráfico incluso si el contenido está encriptado. La preocupación crítica no es solo quién creó los datos, sino cuándo y cómo deja el control de la organización, ya sea a través de cargas directas, consultas conversacionales o funciones de IA integradas en los sistemas comerciales. Monitoreo El uso generativo de IA de manera efectiva Las organizaciones pueden usar soluciones DLP Genai basadas en la detección de redes en tres enfoques complementarios: los indicadores basados ​​en URL y las alertas en tiempo real Los administradores pueden definir indicadores para plataformas Genai específicas, por ejemplo, ChatGPT. Estas reglas se pueden aplicar a múltiples servicios y adaptarse a departamentos o grupos de usuarios relevantes. El monitoreo puede cumplir con la web, el correo electrónico y otros sensores. Proceso: cuando un usuario accede a un punto final de Genai, Fidelis NDR genera una alerta si se desencadena una política de DLP, la plataforma registra una captura de paquetes completos para análisis posteriores en la web y los sensores de correo pueden automatizar acciones, como redirigir el tráfico de usuarios o aislar mensajes de ventajas sospechosas: las notificaciones en tiempo real en la respuesta a la respuesta rápida de seguridad. Las reglas actualizadas son necesarias, ya que los puntos finales de IA y los complementos cambian el uso de alto género de Genai puede requerir un ajuste de alerta para evitar el monitoreo de metadatos de sobrecarga solo para la auditoría y los entornos de bajo ruido, no todas las organizaciones necesitan alertas inmediatas para toda la actividad de Genai. Las políticas de prevención de pérdidas de datos basadas en la red a menudo registran la actividad como metadatos, creando una pista de auditoría de búsqueda con una interrupción mínima. Las alertas se suprimen, y todos los metadatos de sesión relevantes son sesiones retenidas de registro de registro y IP de destino, protocolo, puertos, dispositivos y marcas de tiempo Los equipos de seguridad pueden revisar todas las interacciones de Genai históricamente por anfitrión, grupo o marco de tiempo beneficios: reducen los positivos falsos y la fatiga operativa para los equipos de SOC permiten el análisis de la tendencia de la tendencia de la tendencia de la sesión de la sesión de la sesión de larga duración. Y la captura completa de paquetes solo está disponible si una alerta específica se intensifica en la práctica, muchas organizaciones usan este enfoque como línea de base, agregando monitoreo activo solo para departamentos o actividades de mayor riesgo. La detección y prevención de la carga de archivos riesgosos de carga de archivos de carga a las plataformas Genai introduce un mayor riesgo, especialmente al manejar datos PII, PHI o de propiedad. Fidelis NDR puede monitorear tales cargas a medida que ocurren. La seguridad efectiva de la IA y la protección de datos significa inspeccionar de cerca estos movimientos. Proceso: el sistema reconoce cuándo se están cargando los archivos en las políticas de DLP de Genai, inspeccionan automáticamente el contenido del archivo para obtener información confidencial cuando una regla coincide, el contexto completo de la sesión se captura, incluso sin inicio de sesión del usuario, y la atribución del dispositivo proporciona ventajas de responsabilidad: las obras de la red de la red de la ruta de los datos no autorizados no tienen en cuenta los eventos de la red de la red de la red de la red de la red de la red de la red de la red de los que se sobreproducen las obras de la red de la red sobre el Monitoreo de la red sobre el Monitoreo: La atribución se encuentra a nivel de activo o dispositivo a menos que la autenticación del usuario esté presente que sopesen sus opciones: lo que funciona mejor alertas de URL en tiempo real PROS: Permite una intervención rápida y una investigación forense, admite el registro de incidentes y la respuesta automatizada Conspuesta: puede aumentar el ruido y la carga de trabajo en los entornos de alto uso, necesita un mantenimiento de reglas de rutina a medida que los puntos finales evolucionan los metadatos, el modo de modo de metadata un solo operador operativo, fuerte para los entornos postales y la revisión postalvent, la revisión de los puntos de atención de los puntos finales, los puntos finales de los puntos finales de la seguridad de los puntos de seguridad de la Seguridad de la Seguridad de los puntos de seguridad. Anomalías Contras: No se adaptan a las amenazas inmediatas, la investigación requerida Pros de monitoreo de carga de archivos posteriores al factum: se dirige a los eventos de exfiltración de datos reales, proporciona registros detallados para el cumplimiento y los consumo forense: la asignación de niveles de activo solo cuando el inicio de sesión está ausente, ciego a la red o los canales no meditados para la protección de datos de AI, la protección de los datos de AI, el programa de soluciones de GenaAi comprensiva involucra: se mantiene en vivo de los canales de la red o que se realiza la protección de los puntos de venta de AI de la AI. Las reglas de monitoreo asignan regularmente el modo de monitoreo, alertas, metadatos o ambas, por riesgo y negocios, necesitan colaborar con los líderes de cumplimiento y privacidad al definir las reglas de contenido que integran los resultados de detección de redes con los sistemas de gestión de activos y automatización de SOC que educan a los usuarios de los usuarios sobre el cumplimiento de políticas y la visibilidad de las organizaciones de uso de Genai deben revisar periódicamente los registros de políticas y actualizar su sistema para abordar los nuevos servicios de Genai y los placeres y los usos comerciales emergentes. Las mejores prácticas para la implementación de la implementación exitosa requieren: la gestión de inventario de plataforma clara y las actualizaciones de políticas regulares de los enfoques de monitoreo basados ​​en el riesgo adaptados a las necesidades organizacionales integración con flujos de trabajo de SoC existentes y marcos de cumplimiento de los programas de educación de los usuarios que promueven el uso de la IA de la IA IA Continua y la adaptación a la evolución de las tecnologías IA IA IAI Takeaways Key Modern La pérdida de datos Solutiones de prevención de datos, según lo promocionan la Fidelis NDR, la ayuda de la participación de la AI de la AI de la AI de la AI AI de la adopción de la generación de la red de la red. Seguridad y protección de datos. Al combinar controles basados ​​en alertas, metadatos y archivos, las organizaciones crean un entorno de monitoreo flexible donde la productividad y el cumplimiento coexisten. Los equipos de seguridad conservan el contexto y el alcance necesario para manejar nuevos riesgos de IA, mientras que los usuarios continúan beneficiándose del valor de la tecnología Genai. ¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Síguenos en Google News, Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

Un servidor de actualización abandonado asociado con el software del editor de métodos de entrada (IME) Sogou Zhuyin fue aprovechado por los actores de amenaza como parte de una campaña de espionaje para ofrecer varias familias de malware, incluidas C6door y Gtelam, en ataques dirigidos principalmente a usuarios en todo el este de Asia. «Los atacantes emplearon cadenas de infección sofisticadas, como actualizaciones de software secuestradas y páginas falsas de almacenamiento en la nube o inicio de sesión, para distribuir malware y recopilar información confidencial», dijeron los investigadores de Trend Micro Nick Dai y Pierre Lee en un informe exhaustivo. La campaña, identificada en junio de 2025, ha sido nombrada en código Taoth por la compañía de seguridad cibernética. Los objetivos de la actividad incluyen principalmente disidentes, periodistas, investigadores y tecnología/líderes empresariales en China, Taiwán, Hong Kong, Japón, Corea del Sur y comunidades taiwaneses extranjeras. Taiwán representa el 49%de todos los objetivos, seguido de Camboya (11%) y los EE. UU. (7%). Se dice que los atacantes, en octubre de 2024, tomaron el control del nombre de dominio caducado («Sogouzhuyin[.]com «) asociado con Sogou Zhuyin, un servicio IME legítimo que dejó de recibir actualizaciones en junio de 2019, para difundir las cargas útiles maliciosas un mes después. Se estima que varios cientos de víctimas se vieron afectadas». El atacante se apoderó del servidor de actualizaciones abandonadas y, después de registrarlo, se utiliza el dominio para organizar actualizaciones maliciosas desde octubre de 2024 «. Gtelam, C6door, Desfy y Toshis. «Las familias de malware desplegadas tienen diferentes propósitos, incluidos el acceso remoto (RAT), el robo de información y la funcionalidad de puerta trasera. Para evadir la detección, los actores de amenaza también aprovecharon los servicios en la nube de terceros para las actividades de la cadena de la red en la cadena de ataque. Un punto de exfiltración de datos y para ocultar el tráfico de redes maliciosas.[.]Sogouzhuyin[.]com. Si bien el instalador es completamente inocuo, la actividad maliciosa se activa cuando el proceso de actualización automática se activa un par de horas después de la instalación, lo que hace que el binario de actualizadores «Zhuyinup.exe», obtenga un archivo de configuración de actualización de una URL integrada: «SRV-PC.SogouZhuyinin[.]com/v1/actualización/versión. «Es este proceso de actualización el que ha sido manipulado con Desfy, Gtelam, C6Door y Toshis con el objetivo final de perfilar y recopilar datos de objetivos de alto valor-Toshis (primer Servidor de marco de marco externo detectado de diciembre de 2024). Xiangoop, que se ha atribuido a Tropic Trooper y se ha utilizado para entregar Cobalt Strike o una puerta trasera llamada EntryShell en el pasado. XLSX, PPT, and PPTX), and exfiltrates the details to Google Drive C6DOOR, a bespoke Go-based backdoor that uses HTTP and WebSocket protocols for command-and-control so as to receive instructions to gather system information, run arbitrary commands, perform file operations, upload/download files, capture screenshots, list running processes, enumerate directories, and inject shellcode into a targeted process Further El análisis de C6door ha descubierto la presencia de caracteres chinos simplificados integrados dentro de la muestra, lo que sugiere que el actor de amenaza detrás del artefacto puede ser competente en chino «. En uno de los casos que analizamos, el atacante estaba inspeccionando el entorno de la víctima y estableciendo un túnel utilizando el código de Visual Studio. «Curiosamente, hay evidencia de que Toshis también se distribuyó a los objetivos utilizando un sitio web de phishing, probablemente en relación con una campaña de lanza dirigida a un enfoque de dos medidas de registro y, en un enfoque de logro menor, también se ha observado un enfoque de logro de dos medidas de registro con un enfoque de logro de dos medidas de registro, también se ha observado un enfoque de logro de dos medidas de registro. Los señuelos relacionados con cupones gratuitos o lectores de PDF que redirigen y otorgan consentimiento OAuth a las aplicaciones controladas por el atacante, o que sirven páginas de almacenamiento de nube falsas que imitan Tencent Cloud Streamlink para descargar archivos de Zip Maliciosos que contienen toshis estos correos electrónicos de falla de la potencia de la Booby y un documento de desacuerdo que engaña a los trucos de la interacción con el contenido malicioso, el Contenido de la Múltiple. Toshis utilizando la carga lateral de DLL u obtenga el acceso y el control no autorizados sobre sus buzones de Google o Microsoft a través de un mensaje de permiso OAuth. Auditar sus entornos para cualquier software de fin de apoyo y eliminar o reemplazar de inmediato tales aplicaciones. objetivos para una mayor explotación «.

Aug 29, 2025Ravie Lakshmananthrat Intelligence / Malware Amazon dijo el viernes que marcó e interrumpió lo que describió como una campaña oportunista de agujeros de riego orquestados por los actores APT29 vinculados a Rusia como parte de sus esfuerzos de recolección de inteligencia. La campaña utilizó «sitios web comprometidos para redirigir a los visitantes a la infraestructura maliciosa diseñada para engañar a los usuarios para que autorizar los dispositivos controlados por los atacantes a través del flujo de autenticación del código de dispositivo de Microsoft», dijo el director de seguridad de la información de Amazon, CJ Moses. Apt29, también rastreado como BlueBravo, Ursa Cloed, Cozylarch, Cozy Bear, Earth Koshchei, ICECAP, Midnight Blizzard y los Dukes, es el nombre asignado a un grupo de piratería patrocinado por el estado con vínculos con el Servicio de Inteligencia Extranjera (SVR) de Rusia. En los últimos meses, el actor prolífico de amenaza se ha vinculado a ataques que aprovechan los archivos de configuración del Protocolo de Descripción Remoto Malicioso (RDP) para dirigirse a las entidades ucranianas y exfiltrar datos confidenciales. Desde el comienzo del año, se ha observado que el colectivo adversario adoptan varios métodos de phishing, incluidos phishing del código de dispositivo y phishing de unión de dispositivo, para obtener acceso no autorizado a las cuentas de Microsoft 365. Tan recientemente como junio de 2025, Google dijo que observó un clúster de amenazas con afiliaciones a Apt29 armando una característica de la cuenta de Google llamada contraseñas específicas de la aplicación para obtener acceso a los correos electrónicos de las víctimas. La campaña altamente dirigida se atribuyó a UNC6293. La última actividad identificada por el equipo de inteligencia de amenazas de Amazon subraya los continuos esfuerzos del actor de amenaza para cosechar credenciales y reunir inteligencia de interés, al tiempo que afilaba su tradición. «Este enfoque oportunista ilustra la evolución continua de APT29 al escalar sus operaciones para lanzar una red más amplia en sus esfuerzos de recolección de inteligencia», dijo Moses. Los ataques involucraron a APT29 que comprometieron varios sitios web legítimos e inyectan JavaScript que redirigió aproximadamente el 10% de los visitantes a dominios controlados por actores, como FindCloudflare[.]com, que imitaban las páginas de verificación de Cloudflare para dar una ilusión de legitimidad. En realidad, el objetivo final de la campaña era atraer a las víctimas a ingresar un código de dispositivo legítimo generado por el actor de amenazas en una página de inicio de sesión, otorgándoles efectivamente acceso a sus cuentas y datos de Microsoft. Esta técnica fue detallada por Microsoft y Volexity en febrero de 2025. La actividad también es notable para incorporar varias técnicas de evasión, como la codificación de Base64 para ocultar el código malicioso, establecer cookies para evitar redirigiciones repetidas del mismo visitante y cambiar a una nueva infraestructura cuando se bloquea. Amazon le dijo a The Hacker News que no tiene información adicional sobre cuántos sitios web se comprometieron como parte de este esfuerzo y cómo se piratearon estos sitios en primer lugar. El gigante tecnológico también señaló que era capaz de vincular los dominios utilizados en esta campaña con infraestructura previamente atribuida a Apt29. «A pesar de los intentos del actor de migrar a una nueva infraestructura, incluido un traslado de AWS a otro proveedor de la nube, nuestro equipo continuó rastreando e interrumpiendo sus operaciones», dijo Moses. «Después de nuestra intervención, observamos que el actor registra dominios adicionales como CloudFlare.RedirectPartners[.]com, que nuevamente intentó atraer a las víctimas a los flujos de trabajo de autenticación del código de dispositivo de Microsoft «.

Los investigadores de ciberseguridad han llamado la atención sobre un ataque cibernético en el que los actores de amenaza desconocidos desplegaron una herramienta de monitoreo de punto final de código abierto y una herramienta forense digital llamada Velociraptor, que ilustra el abuso continuo de software legítimo para fines maliciosos. «En este incidente, el actor de amenazas utilizó la herramienta para descargar y ejecutar el código de Visual Studio con la probable intención de crear un túnel a un servidor de comando y control (C2) controlado por el atacante», dijo el equipo de investigación de la Unidad de Amenazas de Sophos Counter Amenazas en un informe publicado esta semana. Si bien se sabe que los actores de amenaza adoptan técnicas de vida-de la tierra (LOTL) o aprovechan las herramientas legítimas de monitoreo y gestión remota (RMM) en sus ataques, el uso de Velociraptor señala una evolución táctica, donde los programas de respuesta a incidentes se están utilizando para obtener un punto de apoyo y minimizar la necesidad de tener para implementar su propio malware. Un análisis posterior del incidente ha revelado que los atacantes utilizaron la utilidad de Windows MSIEXEC para descargar un instalador MSI de un dominio de trabajadores de CloudFlare, que sirve como un campo de puesta en escena para otras herramientas utilizadas por ellos, incluida una herramienta de túnel de CloudFlare y una utilidad de administración remota conocida como radmin. El archivo MSI está diseñado para instalar Velociraptor, que luego establece contacto con otro dominio de trabajadores de CloudFlare. Luego se aprovecha el acceso para descargar el código Visual Studio del mismo servidor de puesta en escena utilizando un comando codificado PowerShell y ejecutar el editor de código fuente con la opción Túnel habilitada para permitir tanto el acceso remoto como la ejecución del código remoto. Los actores de amenaza también se han observado utilizando la utilidad de Windows MSIEXEC nuevamente para descargar cargas útiles adicionales de los trabajadores[.]carpeta de desarrollo. «Las organizaciones deben monitorear e investigar el uso no autorizado de Velociraptor y tratar las observaciones de esta Tradecraft como un precursor del ransomware», dijo Sophos. «Implementar un sistema de detección y respuesta de punto final, el monitoreo de herramientas inesperadas y comportamientos sospechosos, y seguir las mejores prácticas para asegurar sistemas y generar copias de seguridad puede mitigar la amenaza de ransomware». La divulgación se produce cuando las empresas de ciberseguridad cazadores y Permiso detallaron una campaña maliciosa que ha aprovechado a los equipos de Microsoft para el acceso inicial, lo que refleja un creciente patrón de actores de amenaza que arman el papel confiable y profundamente integrado de la plataforma en las comunicaciones empresariales para el despliegue de malware. Estos ataques comienzan con los actores de amenaza que utilizan inquilinos recién creados o comprometidos para enviar mensajes directos o iniciar llamadas a objetivos, hacerse pasar por su parte de equipos de mesa u otros contactos confiables para instalar software de acceso remoto como Anydesk, Dwagent o Asistencia rápida, y aprovechar el control de los sistemas de víctimas para entregar malware. Si bien se han vinculado técnicas similares que involucran herramientas de acceso remoto a grupos de ransomware como Black Basta desde mediados de 2014, estas campañas más nuevas renuncian al paso de bombardeo de correo electrónico preliminar y, en última instancia, utilizan el acceso remoto para entregar una carga útil de PowerShell con capacidades comúnmente asociadas con el robo de credenciales, la persistencia y la ejecución de código remoto. «Los señuelos utilizados para iniciar el compromiso están adaptados a parecer rutinarios e irremediables, generalmente enmarcados, ya que la asistencia de TI relacionada con el rendimiento de los equipos, el mantenimiento del sistema o el soporte técnico general», dijo el investigador de Permiso ISUF Deliu. «Estos escenarios están diseñados para combinarse con el fondo de la comunicación corporativa cotidiana, por lo que es menos probable que desencadenen sospechas». Vale la pena señalar que se han empleado tácticas similares para propagar familias de malware como Darkgate y Matanbuchus Malware durante el año pasado. Los ataques también sirven a un indicador de la credencial de Windows para engañar a los usuarios para que ingresen sus contraseñas con la apariencia de una solicitud de configuración del sistema benigna, que luego se cosechan y guardan en un archivo de texto en el sistema. «El phishing de los equipos de Microsoft ya no es una técnica complementaria: es una amenaza activa y en evolución que evita las defensas de correo electrónico tradicionales y la confianza en las herramientas de colaboración», dijeron los investigadores de seguridad Alon Klayman y Tomer Kachlon. «Al monitorear registros de auditoría como chatcreated y mensajes de mensajes, enriqueciendo señales con datos contextuales y capacitar a los usuarios para detectarlo/suplantaciones de la mesa de ayuda, los equipos de SOC pueden cerrar esta nueva brecha antes de explotarse». Los hallazgos también siguen el descubrimiento de una nueva campaña malvertida que combina un cargo legítimo[.]COM Enlace con Active Directory Federation Services (ADFS) para redirigir a los usuarios a las páginas de phishing de Microsoft 365 que son capaces de recolectar información de inicio de sesión. La cadena de ataque, en pocas palabras, comienza cuando una víctima hace clic en un enlace patrocinado por Rogue en las páginas de resultados del motor de búsqueda, lo que desencadena una cadena de redirección que finalmente los lleva a una página de inicio de sesión falsa que imita a Microsoft. «Resulta que el atacante había establecido un inquilino personalizado de Microsoft con los servicios de la Federación de Active Directory (ADFS) configurados», dijo Luke Jennings de Push Security. «Esto significa que Microsoft realizará la redirección al dominio malicioso personalizado». «Si bien esto no es una vulnerabilidad per se, la capacidad de los atacantes para agregar su propio servidor Microsoft ADFS para alojar su página de phishing y hacer que Microsoft redirige a ella es un desarrollo preocupante que hará que las detecciones basadas en URL sean aún más desafiantes de lo que ya son».