El grupo hacker Cobalt utiliza Google App Engine para distribuir malware


Cobalt ha estado utilizando Google App Engine para distribuir malware a través de documentos PDF como señuelo. El grupo atacó a más de 20 instituciones gubernamentales y financieras en todo el mundo.

Los ataques se llevaron a cabo vulnerando la redirección de la URL en archivos PDF y redirigiendo a la URL maliciosa que aloja el payload. Este ataque dirigido es más convincente que otros ataques porque la URL que aloja el malware apunta la URL del host hacia Google App Engine, haciendo que la víctima crea que el archivo se entrega desde una fuente confiable como Google.

Se utilizaron documentos PDF creados en Adobe Acrobat 18.0 que contenían las URL´s maliciosas de forma comprimida.

Una vez que se accede a la URL, el usuario cierra sesión en appengine.google.com y se genera un código de estado de respuesta '302' para la redirección de URL. A medida que esta acción se ejecuta, el usuario es redirigido a google.com/url mediante la query "? continue =". Usando esta lógica de redirección, se llega a la página de destino.

Los lectores de PDF emiten una advertencia de seguridad cuando el documento se conecta a un sitio web, pero una vez que marca la opción "recordar esta acción para este sitio", esta advertencia no se mostrará nuevamente.

El grupo de delincuencia de cobalto usaba archivos PDF que descargan un documento de Microsoft Word con código macro malicioso. Una vez que las víctimas habilitan la macro, se descarga otra etapa del payload. 

La técnica de ataque se asemeja al método Squiblydoo en el que los scriptlets maliciosos se cargan utilizando aplicaciones nativas de Windows, y también permiten dar por alto soluciones de listas blancas de aplicaciones como Windows Applocker.


REFERENCIA
https://www.netskope.com/blog/targeted-attacks-abusing-google-cloud-platform-open-redirection

COMENTARIOS

Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: El grupo hacker Cobalt utiliza Google App Engine para distribuir malware
El grupo hacker Cobalt utiliza Google App Engine para distribuir malware
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgGwfcItCLkPpUBjtOVv3IHlxk8bNQ3pDNbDJyBjkuCSS_cDkYvSqaW6_ICcJe1PzAvUV7bIkxQrmqdcgwpuZgaPDZNpqnGV_00sXpi4PIZG0tQFzddfApxS8M5OsMOOu2DbMmJ3CQAwm8/s640/cobalt.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgGwfcItCLkPpUBjtOVv3IHlxk8bNQ3pDNbDJyBjkuCSS_cDkYvSqaW6_ICcJe1PzAvUV7bIkxQrmqdcgwpuZgaPDZNpqnGV_00sXpi4PIZG0tQFzddfApxS8M5OsMOOu2DbMmJ3CQAwm8/s72-c/cobalt.jpg
Arkavia Networks News
https://www.arkalabs.cl/2019/01/el-grupo-hacker-cobalt-utiliza-google.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2019/01/el-grupo-hacker-cobalt-utiliza-google.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy