🌐 Desmitificando las Máscaras de Subred y el Misterioso 0.0.0.0

-
Imagen
  🌐 Desmitificando las Máscaras de Subred y el Misterioso 0.0.0.0 Si estás inmerso en el mundo de las redes o aspiras a estarlo, seguramente te has topado con términos como Máscara de Subred , Máscara Wildcard y la enigmática dirección 0.0.0.0 . ¡No te preocupes! En esta lección, desglosaremos estos conceptos clave y aclararemos el papel de 0.0.0.0 en el universo de la conectividad. 1. ¿Qué es una Máscara de Subred? Una Máscara de Subred es un número de 32 bits (como una dirección IP) que se utiliza para dividir una dirección IP en dos partes: Porción de Red: Identifica la red a la que pertenece el dispositivo. Porción de Host: Identifica el dispositivo específico dentro de esa red. En binario, la regla es simple: Un 1 en la máscara de subred indica un bit que pertenece a la Porción de Red (debe coincidir exactamente). Un 0 en la máscara de subred indica un bit que pertenece a la Porción de Host (puede variar para los diferentes dispositivos de la red). Ejemplo Común: Másc...
Publicar un comentario

APT28 despliega “NotDoor”: la puerta trasera oculta en Outlook que amenaza a empresas de la OTAN

-

 

El grupo de hackers patrocinado por el estado ruso, conocido como APT28, ha desplegado una nueva y sofisticada puerta trasera llamada NotDoor, que aprovecha Microsoft Outlook para atacar a Múltiples empresas en países miembros de la OTAN.


¿Qué es NotDoor?

NotDoor es una macro maliciosa en Visual Basic para Aplicaciones (VBA) diseñada para Outlook. Su objetivo principal es monitorear los correos entrantes en busca de palabras clave específicas, como “Informe diario”. Al detectar estos mensajes, el malware puede:


Extraer datos sensibles

Cargar archivos maliciosos

Ejecutar comandos arbitrarios en el equipo infectado

El nombre “NotDoor” proviene del uso de la palabra “Nothing” en su código fuente, según el equipo de inteligencia de amenazas LAB52 de S2 Grupo, empresa española que descubrió esta amenaza.


Vector de ataque

Aunque el vector inicial de infección aún no está confirmado, el análisis revela que NotDoor se distribuye mediante una técnica de llamada carga lateral de DLL a través del ejecutable legítimo de Microsoft OneDrive (“onedrive.exe”). Esto permite ejecutar una DLL maliciosa llamada “SSPICLI.dll”, que instala la puerta trasera y desactiva las protecciones de seguridad de macros en Outlook.


Una vez activo, NotDoor utiliza eventos de Outlook para ejecutarse automáticamente al iniciar la aplicación o al recibir nuevos correos. Además, crea una carpeta temporal en %TEMP%\Temp para almacenar archivos TXT cifrados que luego exfiltra a través de correos enviados a una dirección de Proton Mail controlada por los atacantes.


Comandos que ejecutan:

El malware soporta cuatro comandos principales:


cmd: Ejecuta comandos y envía la salida como archivo adjunto por correo

cmdno: Ejecuta comandos sin enviar salida

dwn : Exfiltra archivos desde la computadora víctima enviándolos por correo

upl : Descarga y ejecuta archivos en la máquina infectada

Los archivos exfiltrados se cifran con un método personalizado antes de ser enviados y luego se eliminan del sistema para evitar su detección.


¿Qué pasa con el ataque?

Este ataque forma parte de una campaña más amplia que incluye el uso de técnicas avanzadas para evadir detección, como:


Uso de Microsoft Dev Tunnels para ocultar la infraestructura de comando y control (C2)

Rotación rápida de dominios y nodos C2 para evitar bloqueos y rastreos

Distribución de scripts maliciosos a través de dominios falsos de Cloudflare Workers

Propagación mediante unidades USB infectadas

El Centro de Inteligencia de Amenazas 360, con sede en Beijing, destaca que esta cadena de ataque emplea cuatro capas de ofuscación para mantener la operación encubierta desde la infección inicial hasta la exfiltración de datos.


¿Qué hacer para protegerse?

Mantén actualizado Microsoft Outlook y el sistema operativo

Deshabilitar la ejecución automática de macros en Outlook

Implementa soluciones de seguridad que detecten comportamientos anómalos en correos y aplicaciones.

Educa a los usuarios para identificar correos sospechosos y evitar abrir archivos o enlaces no verificados

Referencias:


  • https://s2grupo.es/es/lab52/notdoor-backdoor-apt28/
  • https://www.darkreading.com/endpoint-security/apt28-outlook-notdoor-backdoor
  • https://thehackernews.com/2025/09/apt28-ruso-implementa-notdoor-outlook.html
  • https://www.infosecurity-magazine.com/news/russia-apt28-notdoor-outlook/
  • https://rewterz.com/advisory-de-amenazas/apt28-explota-microsoft-outlook-con-notdoor-backdoor-activo-iocs-recién-descubierto
  • https://cert.gov.ua/es/alertas/apt28-actividad-no-al-aire-libre-2025
  • https://attack.mitre.org/groups/G0007/


NOTA: La amenaza de NotDoor demuestra una vez más la sofisticación creciente de los ataques dirigidos y la importancia de mantener una defensa proactiva y actualizada.


¡Comparte esta alerta para ayudar a proteger a más empresas y usuarios!

Comentarios

Publicar un comentario

Entradas más populares de este blog

🛡️ Actualización de seguridad para Red Hat Enterprise Linux

-
Imagen
01/09/2025 🛡️ Actualización de seguridad para Red Hat Enterprise Linux Red Hat ha publicado una actualización de seguridad urgente para sus productos  Red Hat Enterprise Linux (RHEL)  , destinada a corregir dos vulnerabilidades de severidad alta en  PostgreSQL  , el popular sistema de gestión de bases de datos. 💻 Productos para personas afectadas Red Hat Enterprise Linux para x86_64 9 x86_64 Red Hat Enterprise Linux para x86_64: compatibilidad con actualizaciones extendidas 9.6 x86_64 Servidor Red Hat Enterprise Linux: AUS 9.6 x86_64 Red Hat Enterprise Linux para IBM z Systems 9 s390x Red Hat Enterprise Linux para IBM z Systems: soporte de actualización ampliado 9.6 s390x Red Hat Enterprise Linux para Power, little endian 9 ppc64le Red Hat Enterprise Linux para Power, little endian: compatibilidad con actualizaciones extendidas 9.6 ppc64le Red Hat Enterprise Linux para ARM 64 9 aarch64 Red Hat Enterprise Linux para ARM 64: compatibilidad con actualizaciones extendi...
Read more »

Vulnerabilidad crítica CVE-2025-42957 en SAP S/4HANA es explotada activamente

-
Imagen
  Una grave vulnerabilidad de seguridad ha sido detectada y explotada en SAP S/4HANA, el popular software de planificación de recursos empresariales (ERP) utilizado por miles de organizaciones en todo el mundo. La falla, identificada como  CVE-2025-42957  y con un puntaje CVSS de 9.9, permite la inyección arbitraria de código ABAP, poniendo en riesgo la confidencialidad, integridad y disponibilidad de los sistemas afectados. ¿En qué consiste la vulnerabilidad? La vulnerabilidad reside en un módulo de función expuesto mediante RFC (Remote Function Call) que no realiza las comprobaciones de autorización necesarias. Esto permite a un atacante con privilegios mínimos inyectar código malicioso en el sistema SAP, eludiendo controles de seguridad críticos. Según la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST, esta falla puede ser explotada para: Modificar la base de datos SAP Crear cuentas de superusuario con privilegios SAP_ALL Descargar hashes de contraseñas Alte...
Read more »

Filtración de datos en Palo Alto Networks exponen información de clientes y tickets de soporte

-
Imagen
🚨 Violación de datos en Palo Alto Networks tras ataque a Salesloft Drift Palo Alto Networks confirmó una violación de datos que expuso información sensible de clientes y casos de soporte luego de que atacantes abusaran de tokens OAuth comprometidos en la reciente violación de  Salesloft Drift  para acceder a su instancia de  Salesforce  . Este incidente forma parte de una campaña más amplia que ha afectado a cientos de empresas, incluyendo a Zscaler y Google, y que fue revelada la semana pasada. Los atacantes utilizaron tokens de autenticación robados para acceder a Salesforce y filtrar datos confidenciales. La información comprometida incluye contactos comerciales, cuentas relacionadas, registros internos de ventas y datos de casos de soporte. Se detectó que los atacantes buscaron activamente credenciales como claves de acceso AWS (AKIA), tokens Snowflake, cadenas de inicio de sesión VPN y SSO, y palabras clave como "contraseña" o "secreto". Para evadir la detecci...
Read more »