Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El ataque de EastWind implementa puertas traseras PlugY y GrewApacha utilizando archivos LNK con trampas explosivas
  • Tecnología

El ataque de EastWind implementa puertas traseras PlugY y GrewApacha utilizando archivos LNK con trampas explosivas

teknomers 12 de Ağustos de 2024 (Last updated: 12 de Ağustos de 2024) 4 minutes read
El ataque de EastWind implementa puertas traseras PlugY y GrewApacha


12 de agosto de 2024Ravie LakshmananSeguridad en la nube/Malware

El gobierno ruso y las organizaciones de TI son el objetivo de una nueva campaña que distribuye una serie de puertas traseras y troyanos como parte de una campaña de phishing con nombre en código Viento del este.

Las cadenas de ataque se caracterizan por el uso de archivos adjuntos en formato RAR que contienen un archivo de acceso directo de Windows (LNK) que, al abrirse, activa la secuencia de infección, que culmina con el despliegue de malware como GrewApacha, una versión actualizada del backdoor CloudSorcerer y un implante previamente no documentado denominado PlugY.

PlugY “se descarga a través de la puerta trasera CloudSorcerer, tiene un amplio conjunto de comandos y admite tres protocolos diferentes para comunicarse con el servidor de comando y control”, dijo la empresa de ciberseguridad rusa Kaspersky. dicho.

El vector de infección inicial se basa en un archivo LNK con trampa explosiva, que emplea Técnicas de carga lateral de DLL para lanzar un archivo DLL malicioso que utiliza Dropbox como mecanismo de comunicación para ejecutar comandos de reconocimiento y descargar cargas útiles adicionales.

Ciberseguridad

Entre el malware distribuido mediante la DLL se encuentra GrewApacha, una puerta trasera conocida previamente vinculado al grupo APT31 vinculado a China. También se lanzó mediante carga lateral de DLL y utiliza un perfil de GitHub controlado por el atacante como resolver de punto muerto para almacenar una cadena codificada en Base64 del servidor C2 real.

Por otro lado, CloudSorcerer es una sofisticada herramienta de ciberespionaje que se utiliza para el monitoreo oculto, la recopilación de datos y la exfiltración a través de la infraestructura en la nube de Microsoft Graph, Yandex Cloud y Dropbox. Al igual que en el caso de GrewApacha, la variante actualizada aprovecha plataformas legítimas como LiveJournal y Quora como servidor C2 inicial.

“Al igual que con las versiones anteriores de CloudSorcerer, las biografías de los perfiles contienen un token de autenticación cifrado para interactuar con el servicio en la nube”, dijo Kaspersky.

Además, utiliza un mecanismo de protección basado en cifrado que garantiza que el malware se detone solo en la computadora de la víctima mediante una clave única derivada del sistema operativo Windows. Función GetTickCount() en tiempo de ejecución.

La tercera familia de malware observada en los ataques es PlugY, una puerta trasera con todas las funciones que se conecta a un servidor de administración mediante TCP, UDP o canales con nombre y viene con capacidades para ejecutar comandos de shell, monitorear la pantalla del dispositivo, registrar pulsaciones de teclas y capturar el contenido del portapapeles.

Kaspersky dijo que un análisis del código fuente de PlugX descubrió similitudes con una puerta trasera conocida llamada DRBControl (también conocida como Almejas), que ha sido atribuido a los grupos de amenazas del nexo con China identificados como APT27 y APT41.

Ciberseguridad

“Los atacantes detrás de la campaña EastWind utilizaron servicios de red populares como servidores de comando: GitHub, Dropbox, Quora, así como los rusos LiveJournal y Yandex Disk”, dijo la compañía.

La revelación viene de Kaspersky, quien también detalló un ataque de abrevadero que implica comprometer un sitio legítimo relacionado con el suministro de gas en Rusia para distribuir un gusano llamado CMoon que puede recolectar datos confidenciales y de pago, tomar capturas de pantalla, descargar malware adicional y lanzar ataques distribuidos de denegación de servicio (DDoS) contra objetivos de interés.

El malware también recopila archivos y datos de varios navegadores web, billeteras de criptomonedas, aplicaciones de mensajería instantánea, clientes SSH, software FTP, aplicaciones de grabación y transmisión de video, autenticadores, herramientas de escritorio remoto y VPN.

“CMoon es un gusano escrito en .NET, con amplia funcionalidad para el robo de datos y control remoto”, afirma dicho“Inmediatamente después de la instalación, el archivo ejecutable comienza a monitorear las unidades USB conectadas. Esto le permite robar archivos de potencial interés para los atacantes desde medios extraíbles, así como copiar un gusano en ellos e infectar otros equipos donde se utilizará la unidad”.

¿Te ha parecido interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: balonmano alemán"pesadilla" en la final
Next: Incluso después de los ajustes, el ruido de la barrera acústica de Alkmaar permanece

Related Stories

Microsoft suspende el Patch Tuesday de julio en PC Dell
  • Tecnología

Microsoft suspende el Patch Tuesday de julio en PC Dell tras problemas de sobrecalentamiento y apagones

teknomers 15 de Temmuz de 2026
Microsoft corrige el bug de Windows 11 que saturaba los
  • Tecnología

Microsoft corrige el bug de Windows 11 que saturaba los SSD

teknomers 15 de Temmuz de 2026
OpenAI embarazada de IA: proyecto de hardware con Jony Ive,
  • Tecnología

OpenAI embarazada de IA: proyecto de hardware con Jony Ive, lanzamiento previsto en 2027 frente a Apple

teknomers 15 de Temmuz de 2026

You May Have Missed

  • General

Lecciones de vida: Proverbio africano del día: “Si retrocedemos, ¿podemos quejarnos de que otros… — Lecciones de vida sobre percepción, responsabilidad, conciencia, progreso y por qué es importante superar las excusas.

teknomers 15 de Temmuz de 2026
  • Deporte

Noticias de transferencias del Coventry City: los Sky Blues cerca de Aurele Amenda

teknomers 15 de Temmuz de 2026
  • General

Medio Oriente: nuevos ataques entre Estados Unidos e Irán, Ormuz permanecerá cerrado hasta el final de las “agresiones” estadounidenses

teknomers 15 de Temmuz de 2026
  • General

Consejos para la vida: Cita del día de Hosea Ballou: ‘Nadie tiene un activo más grande para su negocio que el orgullo de un hombre por su trabajo’. Es una lección de vida inspiradora sobre cómo lograr el éxito profesional, alcanzar metas laborales, ética en el trabajo, política de oficina y logros de los empleados.

teknomers 15 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.