{"id":1005469,"date":"2023-10-19T14:55:51","date_gmt":"2023-10-19T14:55:51","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-sofisticado-marco-mata-afecta-a-las-empresas-de-petroleo-y-gas-de-europa-del-este\/"},"modified":"2023-10-19T14:55:54","modified_gmt":"2023-10-19T14:55:54","slug":"el-sofisticado-marco-mata-afecta-a-las-empresas-de-petroleo-y-gas-de-europa-del-este","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-sofisticado-marco-mata-afecta-a-las-empresas-de-petroleo-y-gas-de-europa-del-este\/","title":{"rendered":"El sofisticado marco MATA afecta a las empresas de petr\u00f3leo y gas de Europa del Este"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/El-sofisticado-marco-MATA-afecta-a-las-empresas-de-petroleo.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Una versi\u00f3n actualizada de un sofisticado marco de puerta trasera llamado <strong>MATA<\/strong> se ha utilizado en ataques dirigidos a m\u00e1s de una docena de empresas de Europa del Este en el sector del petr\u00f3leo y el gas y la industria de defensa como parte de una operaci\u00f3n de ciberespionaje que tuvo lugar entre agosto de 2022 y mayo de 2023.<\/p>\n<p>&#8220;Los actores detr\u00e1s del ataque utilizaron correos electr\u00f3nicos de phishing dirigidos a varias v\u00edctimas, algunas fueron infectadas con malware ejecutable de Windows al descargar archivos a trav\u00e9s de un navegador de Internet&#8221;, Kaspersky <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/updated-mata-attacks-industrial-companies-in-eastern-europe\/110829\/\" target=\"_blank\">dicho<\/a> en un nuevo informe exhaustivo publicado esta semana.<\/p>\n<p>&#8220;Cada documento de phishing contiene un enlace externo para buscar una p\u00e1gina remota que contiene un <a rel=\"nofollow noopener\" href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26411\" target=\"_blank\">CVE-2021-26411<\/a> explotar.&#8221;<\/p>\n<p>CVE-2021-26411 (puntuaci\u00f3n CVSS: 8,8) hace referencia a una vulnerabilidad de corrupci\u00f3n de memoria en Internet Explorer que podr\u00eda activarse para ejecutar c\u00f3digo arbitrario enga\u00f1ando a una v\u00edctima para que visite un sitio especialmente dise\u00f1ado.  Anteriormente, Lazarus Group lo explot\u00f3 a principios de 2021 para apuntar a investigadores de seguridad.<\/p>\n<p>El marco multiplataforma MATA fue documentado por primera vez por la empresa rusa de ciberseguridad en julio de 2020, vincul\u00e1ndolo con el prol\u00edfico equipo patrocinado por el estado de Corea del Norte en ataques dirigidos a diversos sectores en Polonia, Alemania, Turqu\u00eda, Corea, Jap\u00f3n e India desde abril de 2018. .<\/p>\n<p>Kaspersky revel\u00f3 previamente el uso de una versi\u00f3n renovada de MATA para atacar a contratistas de defensa en julio de 2023, aunque la atribuci\u00f3n al Grupo Lazarus sigue siendo, en el mejor de los casos, tenue debido a la presencia de t\u00e9cnicas utilizadas por actores de Five Eyes APT como Purple Lambert, Magenta Lambert. y Lambert Verde.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/moon-i-2.1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/Progress-Software-publica-revisiones-urgentes-para-multiples-fallas-de-seguridad.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Dicho esto, la mayor\u00eda de los documentos maliciosos de Microsoft Word creados por los atacantes presentan una fuente coreana llamada Malgun Gothic, lo que sugiere que el desarrollador est\u00e1 familiarizado con el coreano o trabaja en un entorno coreano.<\/p>\n<p>La empresa rusa de ciberseguridad Positive Technologies, que comparti\u00f3 detalles del mismo marco a finales del mes pasado, est\u00e1 rastreando a los operadores bajo el nombre de Dark River.<\/p>\n<p>&#8220;La principal herramienta del grupo, la puerta trasera MataDoor, tiene una arquitectura modular, con un sistema de transporte de red complejo y minuciosamente dise\u00f1ado y opciones flexibles para la comunicaci\u00f3n entre el operador de la puerta trasera y una m\u00e1quina infectada&#8221;, afirman los investigadores de seguridad Denis Kuvshinov y Maxim Andreev. <a rel=\"nofollow noopener\" href=\"https:\/\/www.ptsecurity.com\/ww-en\/analytics\/pt-esc-threat-intelligence\/dark-river-you-can-t-see-them-but-they-re-there\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;El an\u00e1lisis del c\u00f3digo sugiere que los desarrolladores invirtieron considerables recursos en la herramienta&#8221;.<\/p>\n<p>Las \u00faltimas cadenas de ataques comienzan cuando el actor env\u00eda documentos de phishing a los objetivos, en algunos casos haci\u00e9ndose pasar por empleados leg\u00edtimos, lo que indica un reconocimiento previo y una preparaci\u00f3n exhaustiva.  Estos documentos incluyen un enlace a una p\u00e1gina HTML que incorpora un exploit para CVE-2021-26411.<\/p>\n<p>Un compromiso exitoso conduce a la ejecuci\u00f3n de un cargador que, a su vez, recupera un m\u00f3dulo Validador de un servidor remoto para enviar informaci\u00f3n del sistema y descargar y cargar archivos hacia y desde el servidor de comando y control (C2).<\/p>\n<p>El Validator tambi\u00e9n est\u00e1 dise\u00f1ado para recuperar MataDoor, que, seg\u00fan Kasperksy, es MATA generaci\u00f3n 4 que est\u00e1 equipado para ejecutar una amplia gama de comandos capaces de recopilar informaci\u00f3n confidencial de sistemas comprometidos.<\/p>\n<p>Los ataques se caracterizan adem\u00e1s por el uso de malware ladr\u00f3n para capturar contenido del portapapeles, registrar pulsaciones de teclas, tomar capturas de pantalla y desviar contrase\u00f1as y cookies del Administrador de credenciales de Windows e Internet Explorer.<\/p>\n<p>Otra herramienta digna de menci\u00f3n es un m\u00f3dulo de propagaci\u00f3n USB que permite enviar comandos al sistema infectado a trav\u00e9s de medios extra\u00edbles, lo que probablemente permita a los actores de amenazas infiltrarse en redes aisladas.  Tambi\u00e9n se emplea un exploit llamado <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/ly4k\/CallbackHell\/\" target=\"_blank\">Devoluci\u00f3n de llamadaInfierno<\/a> para elevar privilegios y eludir los productos de seguridad de endpoints para lograr sus objetivos sin llamar la atenci\u00f3n.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/cis-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/1696134768_108_Los-anuncios-de-chat-de-Bing-impulsados-\u200b\u200bpor-IA-de.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Kaspersky dijo que tambi\u00e9n descubri\u00f3 una nueva variante de MATA, denominada MATA generaci\u00f3n 5 o MATAv5, que est\u00e1 &#8220;completamente reescrita desde cero&#8221; y &#8220;exhibe una arquitectura avanzada y compleja que utiliza m\u00f3dulos y complementos cargables e integrados&#8221;.<\/p>\n<p>&#8220;El malware aprovecha la comunicaci\u00f3n entre procesos (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Inter-process_communication\" target=\"_blank\">IPC<\/a>) canaliza internamente y emplea una amplia gama de comandos, lo que le permite establecer cadenas de proxy a trav\u00e9s de varios protocolos, tambi\u00e9n dentro del entorno de la v\u00edctima&#8221;, a\u00f1adi\u00f3 la empresa.<\/p>\n<p>En total, el marco MATA y su c\u00f3ctel de complementos incorporan soporte para m\u00e1s de 100 comandos relacionados con la recopilaci\u00f3n de informaci\u00f3n, monitoreo de eventos, gesti\u00f3n de procesos, gesti\u00f3n de archivos, reconocimiento de red y funcionalidad de proxy.<\/p>\n<p>&#8220;El actor demostr\u00f3 altas capacidades para navegar y aprovechar las soluciones de seguridad implementadas en el entorno de la v\u00edctima&#8221;, dijo Kaspersky.<\/p>\n<p>&#8220;Los atacantes utilizaron muchas t\u00e9cnicas para ocultar su actividad: rootkits y controladores vulnerables, disfrazando archivos como aplicaciones leg\u00edtimas, utilizando puertos abiertos para la comunicaci\u00f3n entre aplicaciones, cifrado multinivel de archivos y actividad de red de malware, [and] estableciendo largos tiempos de espera entre conexiones para controlar servidores.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/10\/sophisticated-mata-framework-strikes.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Una versi\u00f3n actualizada de un sofisticado marco de puerta trasera llamado MATA se ha utilizado en ataques dirigidos<\/p>\n","protected":false},"author":1,"featured_media":1005470,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,734,4661,4664,38,3581,560,348,4662,347,4668,246,201033,140,6921,4654,201031,4659,4653,4655,4651,4666,4665,65824,201032,4660],"class_list":["post-1005469","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-afecta","tag-ataques-ciberneticos","tag-como-hackear","tag-del","tag-empresas","tag-este","tag-europa","tag-filtracion-de-datos","tag-gas","tag-la-seguridad-informatica","tag-las","tag-las-noticias-de-los-piratas-informaticos","tag-marco","tag-mata","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-petroleo","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sofisticado","tag-software-malicioso-ransomware","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1005469","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1005469"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1005469\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1005470"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1005469"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1005469"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1005469"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}