{"id":1087184,"date":"2023-12-11T18:15:26","date_gmt":"2023-12-11T18:15:26","guid":{"rendered":"https:\/\/teknomers.com\/es\/lazarus-group-utiliza-exploits-log4j-para-implementar-troyanos-de-acceso-remoto\/"},"modified":"2023-12-11T18:15:30","modified_gmt":"2023-12-11T18:15:30","slug":"lazarus-group-utiliza-exploits-log4j-para-implementar-troyanos-de-acceso-remoto","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/lazarus-group-utiliza-exploits-log4j-para-implementar-troyanos-de-acceso-remoto\/","title":{"rendered":"Lazarus Group utiliza exploits Log4j para implementar troyanos de acceso remoto"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">11 de diciembre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Vulnerabilidad \/ Espionaje<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/Lazarus-Group-utiliza-exploits-Log4j-para-implementar-troyanos-de-acceso.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>El notorio actor de amenazas vinculado a Corea del Norte conocido como <strong>Grupo L\u00e1zaro<\/strong> se ha atribuido a una nueva campa\u00f1a global que implica la explotaci\u00f3n oportunista de fallas de seguridad en Log4j para implementar troyanos de acceso remoto (RAT) previamente no documentados en hosts comprometidos.<\/p>\n<p>Cisco Talos est\u00e1 rastreando la actividad bajo el nombre Operation Blacksmith, observando el uso de tres familias de malware basadas en DLang, incluida una RAT llamada NineRAT que aprovecha Telegram para comando y control (C2), DLRAT y un descargador denominado BottomLoader.<\/p>\n<p>La firma de ciberseguridad describi\u00f3 las \u00faltimas t\u00e1cticas del adversario como un cambio definitivo y que se superponen con el grupo ampliamente rastreado como Andariel (tambi\u00e9n conocido como Onyx Sleet o Silent Chollima), un subgrupo dentro del paraguas de Lazarus.<\/p>\n<p>&#8220;A Andariel normalmente se le asigna la tarea de acceso inicial, reconocimiento y establecimiento de acceso a largo plazo para espionaje en apoyo de los intereses nacionales del gobierno de Corea del Norte&#8221;, dijeron en un informe t\u00e9cnico los investigadores de Talos Jung soo An, Asheer Malhotra y Vitor Ventura. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/lazarus_new_rats_dlang_and_telegram\/\" target=\"_blank\">informe<\/a> compartido con The Hacker News.<\/p>\n<p>Las cadenas de ataques implican la explotaci\u00f3n de CVE-2021-44228 (tambi\u00e9n conocido como Log4Shell) contra servidores VMWare Horizon de acceso p\u00fablico para entregar NineRAT.  Algunos de los sectores destacados a los que se dirigen incluyen la manufactura, la agricultura y la seguridad f\u00edsica.<\/p>\n<section class=\"check_two_webinar clear babsi\"> <span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span> <a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/social-engineering-psychology?source=inside\" target=\"_blank\" class=\"wn-head\"> <\/p>\n<p>Descifrando el c\u00f3digo: aprenda c\u00f3mo los ciberatacantes explotan la psicolog\u00eda humana<\/p>\n<p> <\/a> <\/p>\n<p class=\"wn-description\">\u00bfAlguna vez te has preguntado por qu\u00e9 la ingenier\u00eda social es tan eficaz?  Profundice en la psicolog\u00eda de los ciberatacantes en nuestro pr\u00f3ximo seminario web.<\/p>\n<p> <a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/social-engineering-psychology?source=inside\" target=\"_blank\" class=\"wn-button\">\u00danete ahora<\/a> <\/section>\n<p>El abuso de Log4Shell no es sorprendente dado el hecho de que el 2,8 por ciento de las aplicaciones todav\u00eda utilizan versiones vulnerables de la biblioteca (desde 2.0-beta9 hasta 2.15.0) despu\u00e9s de dos a\u00f1os de divulgaci\u00f3n p\u00fablica, seg\u00fan <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.veracode.com\/blog\/research\/state-log4j-vulnerabilities-how-much-did-log4shell-change\" target=\"_blank\">Veracode<\/a>y otro 3,8% utiliza Log4j 2.17.0, que, si bien no es vulnerable a CVE-2021-44228, es susceptible a CVE-2021-44832.<\/p>\n<p>Se dice que NineRAT, desarrollado por primera vez alrededor de mayo de 2022, se utiliz\u00f3 ya en marzo de 2023 en un ataque dirigido a una organizaci\u00f3n agr\u00edcola sudamericana y luego nuevamente en septiembre de 2023 a una entidad manufacturera europea.  Al utilizar un servicio de mensajer\u00eda leg\u00edtimo para las comunicaciones C2, el objetivo es evadir la detecci\u00f3n.<\/p>\n<p>El malware act\u00faa como el principal medio de interacci\u00f3n con el punto final infectado, permitiendo a los atacantes enviar comandos para recopilar informaci\u00f3n del sistema, cargar archivos de inter\u00e9s, descargar archivos adicionales e incluso desinstalarlo y actualizarlo.<\/p>\n<p>&#8220;Una vez que se activa NineRAT, acepta comandos preliminares del canal C2 basado en telegramas para volver a tomar huellas dactilares de los sistemas infectados&#8221;, se\u00f1alaron los investigadores.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/1702318526_636_Lazarus-Group-utiliza-exploits-Log4j-para-implementar-troyanos-de-acceso.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/1702318526_636_Lazarus-Group-utiliza-exploits-Log4j-para-implementar-troyanos-de-acceso.jpg\" alt=\"\" border=\"0\" data-original-height=\"422\" data-original-width=\"728\"\/><\/a><\/div>\n<p>&#8220;La nueva toma de huellas dactilares de los sistemas infectados indica que los datos recopilados por Lazarus a trav\u00e9s de NineRAT pueden ser compartidos por otros grupos APT y esencialmente residen en un repositorio diferente de los datos de huellas dactilares recopilados inicialmente por Lazarus durante su acceso inicial y fase de implementaci\u00f3n del implante&#8221;.<\/p>\n<p>Tambi\u00e9n se utiliza en los ataques despu\u00e9s del reconocimiento inicial una herramienta proxy personalizada llamada HazyLoad que Microsoft identific\u00f3 previamente como utilizada por el actor de amenazas como parte de intrusiones que arman fallas de seguridad cr\u00edticas en JetBrains TeamCity (<a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-42793\" target=\"_blank\">CVE-2023-42793<\/a>, puntuaci\u00f3n CVSS: 9,8).  HazyLoad se descarga y ejecuta mediante otro malware llamado BottomLoader.<\/p>\n<p>Adem\u00e1s, se ha observado que Operation Blacksmith entrega DLRAT, que es a la vez un descargador y un RAT equipado para realizar reconocimiento del sistema, implementar malware adicional y recuperar comandos del C2 y ejecutarlos en los sistemas comprometidos.<\/p>\n<p>&#8220;Las m\u00faltiples herramientas que brindan acceso por puertas traseras superpuestas presentan a Lazarus Group redundancias en caso de que se descubra una herramienta, lo que permite un acceso altamente persistente&#8221;, dijeron los investigadores.<\/p>\n<p>La divulgaci\u00f3n se produce cuando el Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC) detall\u00f3 el uso por parte de Kimsuky de versiones de malware AutoIt como Amadey y RftRAT y su distribuci\u00f3n a trav\u00e9s de ataques de phishing con archivos adjuntos y enlaces con trampas explosivas en un intento de eludir los productos de seguridad.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pjHvTZON\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Alerta-F5-advierte-sobre-ataques-activos-que-aprovechan-la-vulnerabilidad.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Kimusky, tambi\u00e9n conocido con los nombres APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), Nickel Kimball y Velvet Chollima, es un elemento que opera bajo la Oficina General de Reconocimiento (RGB) de Corea del Norte, que tambi\u00e9n alberga al Grupo Lazarus.<\/p>\n<p>Fue sancionado por el Departamento del Tesoro de Estados Unidos el 30 de noviembre de 2023 por recopilar inteligencia para apoyar los objetivos estrat\u00e9gicos del r\u00e9gimen.<\/p>\n<p>&#8220;Despu\u00e9s de tomar el control del sistema infectado, para extraer informaci\u00f3n, el grupo Kimsuky instala varios programas maliciosos, como registradores de pulsaciones de teclas y herramientas para extraer cuentas y cookies de los navegadores web&#8221;, afirma ASEC <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/asec.ahnlab.com\/en\/59590\/\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis publicado la semana pasada.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/12\/lazarus-group-using-log4j-exploits-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80211 de diciembre de 2023\ue804Sala de redacci\u00f3nVulnerabilidad \/ Espionaje El notorio actor de amenazas vinculado a Corea del<\/p>\n","protected":false},"author":1,"featured_media":1087185,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[3348,4657,4656,4661,4664,29391,4662,3778,32935,4668,201033,50315,28704,4654,201031,4659,4653,4655,18,51115,4666,4665,201032,74746,6984,4660],"class_list":["post-1087184","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-acceso","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-exploits","tag-filtracion-de-datos","tag-group","tag-implementar","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-lazarus","tag-log4j","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-remoto","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-troyanos","tag-utiliza","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1087184","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1087184"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1087184\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1087185"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1087184"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1087184"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1087184"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}