Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Marque APT dirigido a clientes de alto valor de la empresa de prevención de pérdida de datos de Asia oriental
  • Tecnología

Marque APT dirigido a clientes de alto valor de la empresa de prevención de pérdida de datos de Asia oriental

teknomers 15 de Mart de 2023 (Last updated: 15 de Mart de 2023) 4 minutes read
Marque APT dirigido a clientes de alto valor de la


15 de marzo de 2023Ravie LakshmanánAtaque cibernético / Seguridad de datos

Un actor de ciberespionaje conocido como Tick ha sido atribuido con gran confianza a un compromiso de una empresa de prevención de pérdida de datos (DLP) de Asia oriental que atiende a entidades gubernamentales y militares.

“Los atacantes comprometieron los servidores de actualización internos de la empresa DLP para entregar malware dentro de la red del desarrollador de software y troyanizaron a los instaladores de herramientas legítimas utilizadas por la empresa, lo que eventualmente resultó en la ejecución de malware en las computadoras de los clientes de la empresa”, dijo Facundo, investigador de ESET. Muñoz dicho.

Garrapatatambién conocido como mayordomo de bronce, CABALLERO ROJO, Stalker Panda y Stalker Taurus, es un presunto colectivo alineado con China que ha perseguido principalmente empresas gubernamentales, manufactureras y biotecnológicas en Japón. Se dice que está activo. desde al menos 2006.

Otros objetivos menos conocidos incluyen empresas rusas, singapurenses y chinas. Las cadenas de ataque orquestadas por el grupo generalmente han aprovechado los correos electrónicos de phishing y compromisos web estratégicos como punto de entrada.

A fines de febrero de 2021, Tick surgió como uno de los actores de amenazas para capitalizar las fallas de ProxyLogon en Microsoft Exchange Server como un día cero para lanzar un puerta trasera basada en Delphi en un servidor web perteneciente a una empresa de TI de Corea del Sur.

Empresa de prevención de pérdida de datos

Casi al mismo tiempo, se cree que el colectivo adversario obtuvo acceso a la red de una empresa desarrolladora de software de Asia oriental a través de medios desconocidos. El nombre de la empresa no fue revelado.

A esto le siguió la implementación de una versión manipulada de una aplicación legítima llamada Q-Dir para eliminar una puerta trasera de VBScript de código abierto llamada ReVBShellademás de un descargador previamente no documentado llamado ShadowPy.

ShadowPy, como su nombre lo indica, es un descargador de Python que se encarga de ejecutar un script de Python recuperado de un servidor remoto.

Empresa de prevención de pérdida de datos

También se entregaron durante la intrusión variantes de una puerta trasera de Delphi llamada Netboy (también conocido como Invader o Kickesgo) que viene con capacidades de recopilación de información y shell inversa, así como otro descargador con nombre en código Ghostdown.

SEMINARIO WEB

Descubra los peligros ocultos de las aplicaciones SaaS de terceros

¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.

RESERVA TU ASIENTO

“Para mantener el acceso persistente, los atacantes implementaron DLL de carga maliciosa junto con aplicaciones firmadas legítimas vulnerables al secuestro de orden de búsqueda de DLL”, dijo Muñoz. “El propósito de estas DLL es decodificar e inyectar una carga útil en un proceso designado”.

Posteriormente, en febrero y junio de 2022, los instaladores Q-Dir troyanizados se transfirieron a través de herramientas de soporte remoto como helpU y ANYSUPPORT a dos de los clientes de la empresa, una empresa de ingeniería y fabricación ubicada en el este de Asia.

La compañía de ciberseguridad eslovaca dijo que el objetivo aquí no era realizar un ataque a la cadena de suministro contra sus clientes intermedios, sino que el instalador deshonesto se usó “sin saberlo” como parte de las actividades de soporte técnico.

Es probable que el incidente también esté relacionado con otro grupo no atribuido. detallado por AhnLab en mayo de 2022 que involucró el uso de archivos de ayuda HTML compilada (.CHM) de Microsoft para colocar el implante ReVBShell.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: ¿Otro banco quebrado? “Todo el sector está en una crisis de confianza y Credit Suisse ahora debe pagar el precio por eso”
Next: Raiffeisen busca intercambiar 400 millones de euros con Sberbank en un ‘intercambio de prisioneros financieros’

Related Stories

Ofertas de Darty: 350€ de descuento en el pack Google
  • Tecnología

Ofertas de Darty: 350€ de descuento en el pack Google Pixel 10 Pro con una altavoz JBL de regalo.

teknomers 4 de Temmuz de 2026
Durante una misión espacial histórica, una nave privada intercepta otra
  • Tecnología

Durante una misión espacial histórica, una nave privada intercepta otra nave en órbita.

teknomers 4 de Temmuz de 2026
¿El final de OxygenOS y Realme UI? Los smartphones pasarían
  • Tecnología

¿El final de OxygenOS y Realme UI? Los smartphones pasarían ahora todos a ColorOS.

teknomers 4 de Temmuz de 2026

You May Have Missed

  • General

Frase del Día: Juega tus cartas correctamente

teknomers 4 de Temmuz de 2026
  • General

« Hablan de los pecados de América con ira »: JD Vance critica a los detractores de Estados Unidos

teknomers 4 de Temmuz de 2026
  • General

¡Dejémonos llevar por el lamento! Iranians se aglomeran en el funeral de Khamenei tras su muerte en tiempos de guerra

teknomers 4 de Temmuz de 2026
  • Deporte

Copa Mundial 2026: Reece James duda para el partido contra México, pero Jarell Quansah vuelve a estar en forma

teknomers 4 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.