Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El ataque de EastWind implementa puertas traseras PlugY y GrewApacha utilizando archivos LNK con trampas explosivas
  • Tecnología

El ataque de EastWind implementa puertas traseras PlugY y GrewApacha utilizando archivos LNK con trampas explosivas

teknomers 12 de Ağustos de 2024 (Last updated: 12 de Ağustos de 2024) 4 minutes read
El ataque de EastWind implementa puertas traseras PlugY y GrewApacha


12 de agosto de 2024Ravie LakshmananSeguridad en la nube/Malware

El gobierno ruso y las organizaciones de TI son el objetivo de una nueva campaña que distribuye una serie de puertas traseras y troyanos como parte de una campaña de phishing con nombre en código Viento del este.

Las cadenas de ataque se caracterizan por el uso de archivos adjuntos en formato RAR que contienen un archivo de acceso directo de Windows (LNK) que, al abrirse, activa la secuencia de infección, que culmina con el despliegue de malware como GrewApacha, una versión actualizada del backdoor CloudSorcerer y un implante previamente no documentado denominado PlugY.

PlugY “se descarga a través de la puerta trasera CloudSorcerer, tiene un amplio conjunto de comandos y admite tres protocolos diferentes para comunicarse con el servidor de comando y control”, dijo la empresa de ciberseguridad rusa Kaspersky. dicho.

El vector de infección inicial se basa en un archivo LNK con trampa explosiva, que emplea Técnicas de carga lateral de DLL para lanzar un archivo DLL malicioso que utiliza Dropbox como mecanismo de comunicación para ejecutar comandos de reconocimiento y descargar cargas útiles adicionales.

Ciberseguridad

Entre el malware distribuido mediante la DLL se encuentra GrewApacha, una puerta trasera conocida previamente vinculado al grupo APT31 vinculado a China. También se lanzó mediante carga lateral de DLL y utiliza un perfil de GitHub controlado por el atacante como resolver de punto muerto para almacenar una cadena codificada en Base64 del servidor C2 real.

Por otro lado, CloudSorcerer es una sofisticada herramienta de ciberespionaje que se utiliza para el monitoreo oculto, la recopilación de datos y la exfiltración a través de la infraestructura en la nube de Microsoft Graph, Yandex Cloud y Dropbox. Al igual que en el caso de GrewApacha, la variante actualizada aprovecha plataformas legítimas como LiveJournal y Quora como servidor C2 inicial.

“Al igual que con las versiones anteriores de CloudSorcerer, las biografías de los perfiles contienen un token de autenticación cifrado para interactuar con el servicio en la nube”, dijo Kaspersky.

Además, utiliza un mecanismo de protección basado en cifrado que garantiza que el malware se detone solo en la computadora de la víctima mediante una clave única derivada del sistema operativo Windows. Función GetTickCount() en tiempo de ejecución.

La tercera familia de malware observada en los ataques es PlugY, una puerta trasera con todas las funciones que se conecta a un servidor de administración mediante TCP, UDP o canales con nombre y viene con capacidades para ejecutar comandos de shell, monitorear la pantalla del dispositivo, registrar pulsaciones de teclas y capturar el contenido del portapapeles.

Kaspersky dijo que un análisis del código fuente de PlugX descubrió similitudes con una puerta trasera conocida llamada DRBControl (también conocida como Almejas), que ha sido atribuido a los grupos de amenazas del nexo con China identificados como APT27 y APT41.

Ciberseguridad

“Los atacantes detrás de la campaña EastWind utilizaron servicios de red populares como servidores de comando: GitHub, Dropbox, Quora, así como los rusos LiveJournal y Yandex Disk”, dijo la compañía.

La revelación viene de Kaspersky, quien también detalló un ataque de abrevadero que implica comprometer un sitio legítimo relacionado con el suministro de gas en Rusia para distribuir un gusano llamado CMoon que puede recolectar datos confidenciales y de pago, tomar capturas de pantalla, descargar malware adicional y lanzar ataques distribuidos de denegación de servicio (DDoS) contra objetivos de interés.

El malware también recopila archivos y datos de varios navegadores web, billeteras de criptomonedas, aplicaciones de mensajería instantánea, clientes SSH, software FTP, aplicaciones de grabación y transmisión de video, autenticadores, herramientas de escritorio remoto y VPN.

“CMoon es un gusano escrito en .NET, con amplia funcionalidad para el robo de datos y control remoto”, afirma dicho“Inmediatamente después de la instalación, el archivo ejecutable comienza a monitorear las unidades USB conectadas. Esto le permite robar archivos de potencial interés para los atacantes desde medios extraíbles, así como copiar un gusano en ellos e infectar otros equipos donde se utilizará la unidad”.

¿Te ha parecido interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: balonmano alemán"pesadilla" en la final
Next: Incluso después de los ajustes, el ruido de la barrera acústica de Alkmaar permanece

Related Stories

Disney+ : hasta 5 € de descuento al mes durante
  • Tecnología

Disney+ : hasta 5 € de descuento al mes durante 3 meses del 15 al 28 de julio

teknomers 15 de Temmuz de 2026
Formación en línea: ¿qué plataforma elegir en Francia?
  • Tecnología

Formación en línea: ¿qué plataforma elegir en Francia?

teknomers 15 de Temmuz de 2026
Galaxy Z Fold 8 Ultra: su diseño se revela en
  • Tecnología

Galaxy Z Fold 8 Ultra: su diseño se revela en imágenes antes del Unpacked

teknomers 15 de Temmuz de 2026

You May Have Missed

  • Cultura

Mundial 2026: ¿cuánto le cuesta a M 6 la ausencia de los Bleus en la final?

teknomers 15 de Temmuz de 2026
Disney+ : hasta 5 € de descuento al mes durante
  • Tecnología

Disney+ : hasta 5 € de descuento al mes durante 3 meses del 15 al 28 de julio

teknomers 15 de Temmuz de 2026
REPORTAJE. "No estaba para nada al tanto, pensaba dejar que
  • salud

REPORTAJE. “No estaba para nada al tanto, pensaba dejar que mi perro se bañara”… En Pibrac, los paseantes descubren con preocupación la contaminación por cianobacterias del lago de la Bordette.

teknomers 15 de Temmuz de 2026
Inglaterra-Argentina: este aficionado está tan seguro de que los ingleses
  • Entretenimiento

Inglaterra-Argentina: este aficionado está tan seguro de que los ingleses ganarán el Mundial que ya se lo ha tatuado

teknomers 15 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.