Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Nuevo "CalcetínDesvío" La puerta trasera sin archivos y sin zócalo apunta a los contratistas de defensa de EE. UU.
  • Tecnología

Nuevo "CalcetínDesvío" La puerta trasera sin archivos y sin zócalo apunta a los contratistas de defensa de EE. UU.

teknomers 25 de Şubat de 2022 (Last updated: 25 de Şubat de 2022) 3 minutes read
Nuevo "CalcetínDesvío" La puerta trasera sin archivos y sin zócalo


Los investigadores de seguridad cibernética han descubierto un malware personalizado sigiloso y previamente indocumentado llamado CalcetínDesvío que se dirigió a los contratistas de defensa con sede en EE. UU. con el objetivo de ser utilizado como un implante secundario en hosts de Windows comprometidos.

“SockDetour es una puerta trasera que está diseñada para permanecer sigilosamente en servidores Windows comprometidos para que pueda servir como una puerta trasera de respaldo en caso de que falle la principal”, la inteligencia de amenazas de la Unidad 41 de Palo Alto Networks. dijo en un informe publicado el jueves. “Es difícil de detectar, ya que funciona sin archivos ni sockets en servidores Windows comprometidos”.

Aún más preocupante, se cree que SockDetour se usó en ataques desde al menos julio de 2019, según una marca de tiempo de compilación en la muestra, lo que implica que la puerta trasera logró pasar con éxito la detección durante más de dos años y medio.

Copias de seguridad automáticas de GitHub

Los ataques se han atribuido a un grupo de amenazas que rastrea como TiltedTemple (también conocido como DEV-0322 de Microsoft), que es el apodo designado para un grupo de piratería que opera fuera de China y fue fundamental en la explotación de fallas de día cero en Zoho ManageEngine ADSelfService Plus y ServiceDesk. Más implementaciones como plataforma de lanzamiento para ataques de malware el año pasado.

Los vínculos con TiltedTemple provienen de superposiciones en la infraestructura de ataque, con uno de los servidores de comando y control (C2) que se usó para facilitar la distribución de malware para las campañas de finales de 2021 que también aloja la puerta trasera SockDetour, junto con una utilidad de volcado de memoria. y número de shells web para acceso remoto.

La Unidad 42 dijo que descubrió evidencia de al menos cuatro contratistas de defensa que fueron objeto de la nueva ola de ataques, lo que resultó en el compromiso de uno de ellos.

Las intrusiones también son anteriores a los ataques que ocurrieron a través de servidores Zoho ManageEngine comprometidos en agosto de 2021 por un mes. El análisis de la campaña ha revelado que SockDetour se entregó desde un servidor FTP externo al servidor de Windows con acceso a Internet de un contratista de defensa con sede en EE. UU. el 27 de julio de 2021.

Evitar violaciones de datos

“El servidor FTP que alojaba a SockDetour era un servidor de almacenamiento conectado a la red (NAS) comprometido para pequeñas oficinas y oficinas domésticas (SOHO) de Quality Network Appliance Provider (QNAP),” señalaron los investigadores. “Se sabe que el servidor NAS tiene múltiples vulnerabilidades, incluida una ejecución remota de código vulnerabilidad, CVE-2021-28799″.

Además, se dice que el mismo servidor ya estaba infectado con el ransomware QLocker, lo que aumenta la posibilidad de que el actor de TiltedTemple aprovechó la misma falla para obtener acceso inicial no autorizado.

SockDetour, por su parte, está diseñado como una puerta trasera suplente que secuestra los sockets de red de procesos legítimos para establecer su propio canal C2 encriptado, seguido de la carga de un archivo DLL de complemento no identificado recuperado del servidor.

“Por lo tanto, SockDetour no requiere abrir un puerto de escucha desde el cual recibir una conexión ni llamar a una red externa para establecer un canal C2 remoto”, dijeron los investigadores. “Esto hace que la puerta trasera sea más difícil de detectar tanto desde el host como desde la red”.



ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: ¡Se derramaron comentarios sobre el estilo asertivo de Defne Samyeli! ‘Eres genial’
Next: Los ucranianos no se dan por vencidos en Chernihiv: Rusia pierde impulso en la batalla por Kiev

Related Stories

Investigadores franceses e italianos desvelan el secreto magnético de los
  • Tecnología

Investigadores franceses e italianos desvelan el secreto magnético de los defectos atómicos gracias al cuántico

teknomers 15 de Temmuz de 2026
Disney+ : hasta 5 € de descuento al mes durante
  • Tecnología

Disney+ : hasta 5 € de descuento al mes durante 3 meses del 15 al 28 de julio

teknomers 15 de Temmuz de 2026
Formación en línea: ¿qué plataforma elegir en Francia?
  • Tecnología

Formación en línea: ¿qué plataforma elegir en Francia?

teknomers 15 de Temmuz de 2026

You May Have Missed

  • General

Francia aprueba un histórico proyecto de ley sobre la muerte asistida tras años de debate.

teknomers 15 de Temmuz de 2026
  • Deporte

Aimee Barrett-Theron: La árbitra se retira tras su diagnóstico de cáncer de mama

teknomers 15 de Temmuz de 2026
  • General

El laborista Andy Burnham está destinado a convertirse en el próximo Primer Ministro del Reino Unido

teknomers 15 de Temmuz de 2026
  • General

“¿Prometes no interferir en las elecciones intermedias como Tulsi Gabbard?”: Warner interroga al nominado DNI Clayton – Teknomers

teknomers 15 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.