Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Hackers norcoreanos explotan dispositivos Zimbra sin parches en la campaña ‘No Pineapple’
  • Tecnología

Hackers norcoreanos explotan dispositivos Zimbra sin parches en la campaña ‘No Pineapple’

teknomers 2 de Şubat de 2023 (Last updated: 2 de Şubat de 2023) 4 minutes read
Hackers norcoreanos explotan dispositivos Zimbra sin parches en la campaña


02 de febrero de 2023Ravie LakshmanánSalud / Ataque cibernético

Una nueva campaña de recopilación de inteligencia vinculada al prolífico Lazarus Group, patrocinado por el estado de Corea del Norte, aprovechó fallas de seguridad conocidas en dispositivos Zimbra sin parchear para comprometer los sistemas de las víctimas.

Eso es según la empresa finlandesa de ciberseguridad WithSecure (anteriormente F-Secure), que nombró en código el incidente. sin piña en referencia a un mensaje de error que se usa en una de las puertas traseras.

Los objetivos de la operación maliciosa incluyeron una organización de investigación de atención médica en India, el departamento de ingeniería química de una universidad de investigación líder, así como un fabricante de tecnología utilizada en los sectores de energía, investigación, defensa y atención médica, lo que sugiere un intento de romper el suministro. cadena.

Se estima que el equipo de piratería exportó aproximadamente 100 GB de datos luego del compromiso de un cliente anónimo, y es probable que la irrupción digital tenga lugar en el tercer trimestre de 2022.

“El actor de amenazas obtuvo acceso a la red al explotar un servidor de correo Zimbra vulnerable a fines de agosto”, dijo WithSecure en un comunicado. informe tecnico detallado compartido con The Hacker News.

Las fallas de seguridad utilizadas para el acceso inicial son CVE-2022-27925 y CVE-2022-37042, las cuales podrían ser objeto de abuso para obtener la ejecución remota de código en el servidor subyacente.

Este paso fue seguido por la instalación de shells web y la explotación de la vulnerabilidad de escalada de privilegios locales en el servidor Zimbra (es decir, Pwnkit, también conocido como CVE-2021-4034), lo que permitió al actor de amenazas recolectar datos confidenciales del buzón.

Posteriormente, en octubre de 2022, se dice que el adversario realizó movimientos laterales, reconocimiento y, en última instancia, implementó puertas traseras como Dtrack y una versión actualizada de GREASE.

GRASAque se ha atribuido como obra de otro grupo de amenazas afiliado a Corea del Norte llamado Kimsuky, viene con capacidades para crear nuevas cuentas de administrador con privilegios de protocolo de escritorio remoto (RDP) y, al mismo tiempo, eludir las reglas del cortafuegos.

Dtrack, por otro lado, se ha empleado en ataques cibernéticos dirigidos a una variedad de verticales de la industria, y también en ataques motivados financieramente que involucran el uso de ransomware Maui.

“A principios de noviembre, Cobalt Strike [command-and-control] se detectaron balizas desde un servidor interno a dos direcciones IP de actores de amenazas”, señalaron los investigadores Sami Ruohonen y Stephen Robinson, y agregaron que la exfiltración de datos ocurrió desde el 5 de noviembre de 2022 hasta el 11 de noviembre de 2022.

En la intrusión también se utilizaron herramientas como Plink y 3Proxy para crear un proxy en el sistema de la víctima, haciéndose eco de los hallazgos anteriores de Cisco Talos sobre los ataques de Lazarus Group dirigidos a los proveedores de energía.

Grupos de piratería respaldados por Corea del Norte han tenido un 2022 ajetreado, realizando una serie de robos de criptomonedas y de espionaje que se alinean con las prioridades estratégicas del régimen.

Más recientemente, el clúster BlueNoroff, también conocido por los nombres APT38, Copernicium, Stardust Chollima y TA444, se conectó a ataques de recolección de credenciales de gran alcance dirigidos a los sectores educativo, financiero, gubernamental y de atención médica.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: NUESTRA OPINION. “¿Asumirás la responsabilidad, Paul Magnette? ¡Entonces hazlo ahora!”
Next: Sospechoso principal (29) ‘pandilla de campistas’ de Frisia Occidental libre: "quiero ser un buen padre"

Related Stories

YggTorrent, la gendarmería desmantela la red pirata
  • Tecnología

YggTorrent, la gendarmería desmantela la red pirata

teknomers 3 de Temmuz de 2026
Guerra de los semiconductores: atrapada entre China y Estados Unidos,
  • Tecnología

Guerra de los semiconductores: atrapada entre China y Estados Unidos, una vez más será Europa la que pague el precio alto

teknomers 3 de Temmuz de 2026
Durante las Rebajas tienes -820€ en un monitor PC gamer
  • Tecnología

Durante las Rebajas tienes -820€ en un monitor PC gamer 4K 3D sin gafas de 27″ y 165 Hz de Samsung

teknomers 3 de Temmuz de 2026

You May Have Missed

  • Cultura

System of a Down en concierto en el Stade de France: un espectáculo implacable pero demasiado corto

teknomers 3 de Temmuz de 2026
YggTorrent, la gendarmería desmantela la red pirata
  • Tecnología

YggTorrent, la gendarmería desmantela la red pirata

teknomers 3 de Temmuz de 2026
"Es el lugar ideal para llevar a cabo un proyecto
  • salud

“Es el lugar ideal para llevar a cabo un proyecto así”: médicos se unen para abrir un espacio médico en la antigua CPAM de Saint-Gaudens

teknomers 3 de Temmuz de 2026
  • Entretenimiento

¿Marine Le Pen inéligible en 2027? Cómo la ejecución provisional podría finalmente salvarla

teknomers 3 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.