El grupo de amenazas &#39Chimera&#39 abusa de Microsoft y Google …



Los investigadores detallan un nuevo grupo de amenazas dirigido a los servicios en la nube para lograr objetivos alineados con los intereses chinos.

Los investigadores de seguridad están observando un grupo de amenazas que aprovecha los servicios en la nube de Microsoft y Google con el objetivo de filtrar datos en una amplia gama de organizaciones objetivo.

Estos atacantes tienen un «amplio conjunto de intereses», dicen los investigadores de NCC Team y Fox-IT, quienes señalan que el grupo se conoce como Chimera. Sus datos de destino van desde la propiedad intelectual de las víctimas en la industria de los semiconductores hasta los datos de los pasajeros de la industria de las aerolíneas.

Chimera apareció en varios compromisos de respuesta a incidentes entre octubre de 2019 y abril de 2020. Los investigadores dicen que el grupo ha permanecido sin ser detectado en una pink durante hasta tres años.

Los atacantes comienzan obteniendo nombres de usuario y contraseñas de víctimas de violaciones anteriores. Las credenciales se utilizan en el relleno de credenciales o en los ataques de rociado de contraseñas contra los servicios remotos de una víctima por ejemplo, correo world-wide-web u otros servicios de correo en línea. Una vez que tienen una cuenta válida, la usan para acceder a la VPN, Citrix u otro servicio remoto de la víctima con acceso a la red.

Con un punto de apoyo en la crimson, los atacantes verifican los permisos de la cuenta e intentan obtener una lista de cuentas con privilegios de administrador. Esta lista les ayuda a lanzar otro ataque de rociado de contraseñas hasta que una cuenta de administrador válida se vea comprometida. Usan esta cuenta para cargar una baliza Cobalt Strike en la memoria esto se puede utilizar para acceso remoto y comando y command (C2).

En un artículo, los investigadores explican cómo los atacantes utilizan los servicios en la nube de Microsoft y Google para lograr sus objetivos. En un caso, recopilaron datos de Microsoft SharePoint On the web para exfiltrar información. En otros ataques, cambiaron sus dominios C2: en 2019 comenzaron a usar subdominios bajo el dominio principal appspot.com, que es propiedad de Google, y azureedge.net, un dominio propiedad de Microsoft y parte de su crimson de distribución de contenido Azure.

Leer el análisis completo para más detalles.

Swift Hits de Dark Reading through ofrece una breve sinopsis y un resumen de la importancia de las noticias de última hora. Para obtener más información de la fuente initial de la noticia, siga el enlace proporcionado en este artículo. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial