Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Forg365 PhaaS apunta a Microsoft 365 con código de dispositivo y robo de sesión AitM

Uber’s robotaxi lobbying effort puts it on a collision course with Waymo

El atacante utiliza un script de PowerShell que parece estar generado por IA para asignar Active Directory

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»El atacante utiliza un script de PowerShell que parece estar generado por IA para asignar Active Directory
Identidad

El atacante utiliza un script de PowerShell que parece estar generado por IA para asignar Active Directory

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 13, 2026No hay comentarios5 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Los investigadores de ciberseguridad informaron de una intrusión en la que un atacante desconocido aprovechó un script de PowerShell codificado por vibración para la enumeración de Active Directory (AD).

«El script buscó controladores de dominio (DC), mapeó usuarios, computadoras y dominios, luego creó directorios y exportó una cantidad de archivos, y finalmente creó AD_Report.html para medir el éxito del intento de enumeración», dijeron los investigadores de Huntress Jevon Ang y Dray Agha.

Esta cadena de ataque implicó que el atacante estableciera acceso de Protocolo de escritorio remoto (RDP) a un servidor Windows unido a un dominio utilizando un conjunto de credenciales previamente comprometido y luego almacenara la herramienta en la carpeta «C:\ProgramData\». El incidente ocurrió a principios de junio de 2026.

Esto incluyó una carga útil generada por inteligencia artificial (IA) para mapear el entorno de Active Directory. La evaluación se basa en una variedad de indicadores, incluidos títulos de iteración rápida, cadenas de marcadores de posición, código sobredimensionado con múltiples formas de encontrar controladores de dominio y salida de consola glorificada que utiliza cian, verde, rojo y amarillo.

Huntress describió el script de PowerShell personalizado como «altamente agresivo» y «ruidoso», y utiliza un «mecanismo de respaldo en cascada de cinco pasos» para permitir el reconocimiento y el descubrimiento. Se titula «Script de recopilación de información AD 100% funcional: completamente arreglado» y sugiere interacción con un modelo de lenguaje a gran escala (LLM).

Una vez que se localiza el controlador de dominio principal, comienza una rutina de recopilación de datos para recopilar sistemáticamente usuarios, computadoras, grupos, unidades organizativas (OU) y confianzas de AD y guardar los detalles en un directorio provisional.

Aproximadamente 30 minutos después, el atacante implementó s5cmd, una herramienta legítima utilizada para operaciones masivas de archivos, junto con SharpShares, una utilidad de enumeración de recursos compartidos de red basada en C#, para buscar repositorios de datos a los que el usuario pudiera acceder.

En la etapa final, los datos se escriben en un archivo CSV, se archivan y se extraen a un servidor remoto, pero antes se crea un archivo HTML que resume el robo de datos en forma de informe de inventario de Active Directory.

Los investigadores explicaron: «Esto probablemente no fue escrito intencionalmente en el guión, pero probablemente fue una inyección ‘útil’ de LLM que el atacante simplemente siguió».

Este desarrollo es otra señal de que los actores de amenazas están aumentando su arsenal con malware codificado por vibración generado con la ayuda de modelos de inteligencia artificial, incluso si la tecnología no está siendo explotada de maneras nunca antes vistas. Lo que esto cambia es que se reduce la barrera de entrada para los ciberdelincuentes, lo que permite a los atacantes menos capacitados crear herramientas de evasión sofisticadas con un mínimo esfuerzo.

«La cadena de ataque subyacente todavía se parece a las técnicas comprobadas de aplastar y agarrar que hemos visto durante años», dijo Huntress. «Esta metodología central sigue siendo consistente, pero ahora está mejorada selectivamente por la IA. Este enfoque híbrido prioriza la agresión y la velocidad sobre el sigilo, lo que permite a los actores de amenazas ejecutar campañas altamente dañinas más rápido que nunca».

IA que amplifica el poder

En un informe publicado la semana pasada, Sygnia reveló que si bien los atacantes impulsados ​​por IA no necesariamente requieren nuevo malware o días cero, el verdadero cambio radica en el hecho de que las intrusiones cibernéticas pueden orquestarse más rápido y a mayor escala de lo que los defensores pueden detenerlas.

Una empresa de respuesta a incidentes dijo que observó un ataque en la nube asistido por IA contra un entorno a gran escala basado en Amazon Web Services (AWS) que pasó del acceso inicial a un compromiso generalizado en aproximadamente 72 horas. Se considera que el objetivo final de esta actividad tiene una motivación financiera, ya que los atacantes utilizan el acceso a la infraestructura de la nube de las víctimas como medio de extorsión.

«Los actores de amenazas utilizaron repetidamente credenciales recién adquiridas para reanudar las operaciones de descubrimiento, recopilación encubierta, persistencia e influencia», dice el informe. «Este ataque se basó en tecnología de nube conocida en lugar de nuevo malware o día cero».

«Los atacantes no estaban explotando ni un solo error de configuración; estaban creando rápidamente debilidades en cascada entre servicios de aplicaciones, recursos de AWS, repositorios de control de fuentes, flujos de trabajo de CI/CD, componentes de tiempo de ejecución y almacenes de datos para descubrir credenciales, recopilar información confidencial, enumerar nubes, explotar canales de implementación, modificar tiempos de ejecución, acceder a bases de datos e interrumpir operaciones».

Según Sygnia, los atacantes hicieron repetidos intentos de establecer persistencia en el host comprometido y obtuvieron claves de acceso a una de las cuentas de AWS a través de una falla en una aplicación conectada a Internet. Cada nuevo acceso resultó en nuevas enumeraciones, recopilación de secretos adicionales, intentos de persistencia mediante la creación de claves de acceso y usuarios de IAM, y filtración de datos. Al mismo tiempo, algunos artefactos creados por los atacantes fueron ocultos como pruebas de penetración o ejercicios del equipo rojo.

Para presionar aún más a la víctima, el atacante llevó a cabo una serie de acciones.

Denegar el acceso a un depósito S3 Limitar la capacidad máxima de un servicio o contenedor ECS a cero Crear una regla ACL para bloquear el acceso a la red Purgar colas SQS

«El punto importante no es que la IA introdujo nuevas técnicas de ataque, sino que redujo el tiempo y el esfuerzo necesarios para poner en práctica esas técnicas en entornos complejos, ya que cada acción observada se correspondía con un comportamiento adversario establecido desde hacía mucho tiempo», señaló Signia.

«Los atacantes tradujeron repetidamente el acceso recién obtenido en acciones específicas. Para cada nueva clave de acceso, los atacantes parecieron determinar rápidamente los privilegios asociados, los recursos accesibles y los próximos pasos más valiosos».


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleEstudio de transporte de próxima generación revela un nuevo exoplaneta similar a Júpiter
Next Article Uber’s robotaxi lobbying effort puts it on a collision course with Waymo
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Forg365 PhaaS apunta a Microsoft 365 con código de dispositivo y robo de sesión AitM

julio 13, 2026

Tres campañas de phishing de Evilginx dirigidas a Microsoft 365 reveladas debido a configuraciones incorrectas del servidor

julio 13, 2026

Se informa que iCagenda y Balbooa crearon una falla en Joomla y fue explotada como un día cero

julio 13, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Forg365 PhaaS apunta a Microsoft 365 con código de dispositivo y robo de sesión AitM

Uber’s robotaxi lobbying effort puts it on a collision course with Waymo

El atacante utiliza un script de PowerShell que parece estar generado por IA para asignar Active Directory

Estudio de transporte de próxima generación revela un nuevo exoplaneta similar a Júpiter

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.