{"id":1161107,"date":"2024-01-31T09:34:51","date_gmt":"2024-01-31T09:34:51","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-chinos-aprovechan-las-fallas-de-vpn-para-implementar-el-malware-krustyloader\/"},"modified":"2024-01-31T09:34:55","modified_gmt":"2024-01-31T09:34:55","slug":"hackers-chinos-aprovechan-las-fallas-de-vpn-para-implementar-el-malware-krustyloader","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-chinos-aprovechan-las-fallas-de-vpn-para-implementar-el-malware-krustyloader\/","title":{"rendered":"Hackers chinos aprovechan las fallas de VPN para implementar el malware KrustyLoader"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>31 de enero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Ataque cibern\u00e9tico \/ Seguridad de red<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Un par de fallas de d\u00eda cero recientemente reveladas en dispositivos de red privada virtual (VPN) Ivanti Connect Secure (ICS) han sido explotadas para entregar una carga \u00fatil basada en Rust llamada KrustyLoader<\/strong> que se utiliza para eliminar la herramienta de simulaci\u00f3n de adversarios Sliver de c\u00f3digo abierto.<\/p>\n

Se podr\u00eda abusar de las vulnerabilidades de seguridad, rastreadas como CVE-2023-46805 (puntuaci\u00f3n CVSS: 8,2) y CVE-2024-21887 (puntuaci\u00f3n CVSS: 9,1), en conjunto para lograr la ejecuci\u00f3n remota de c\u00f3digo no autenticado en dispositivos susceptibles.<\/p>\n

A partir del 26 de enero parches para los dos defectos<\/a> se han retrasado, aunque la compa\u00f1\u00eda de software ha lanzado una mitigaci\u00f3n temporal a trav\u00e9s de un archivo XML.<\/p>\n

\"La<\/a><\/center><\/div>\n

Volexity, que arroj\u00f3 luz por primera vez sobre las deficiencias, dijo que han sido utilizadas como armas como d\u00edas cero desde el 3 de diciembre de 2023 por un actor de amenazas de estado-naci\u00f3n chino al que rastrea con el nombre UTA0178. Mandiant, propiedad de Google, ha asignado el apodo UNC5221 al grupo.<\/p>\n

Tras la divulgaci\u00f3n p\u00fablica a principios de este mes, las vulnerabilidades han ser objeto de una amplia explotaci\u00f3n<\/a> por otros adversarios para eliminar los mineros de criptomonedas XMRig, as\u00ed como el malware basado en Rust.<\/p>\n

Synacktiv’s an\u00e1lisis<\/a> del malware Rust, con nombre en c\u00f3digo KrustyLoader, ha revelado que funciona como un cargador para descargar Sliver desde un servidor remoto y ejecutarlo en el host comprometido.<\/p>\n\n\n\n\n
\"Futuro<\/a><\/td>\n<\/tr>\n
Cr\u00e9dito de la imagen: futuro grabado<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Sliver, desarrollado por la empresa de ciberseguridad BishopFox, es un marco de post-explotaci\u00f3n multiplataforma basado en Golang que ha surgido como una opci\u00f3n lucrativa para los actores de amenazas en comparaci\u00f3n con otras alternativas conocidas como Cobalt Strike.<\/p>\n

\"La<\/a><\/center><\/div>\n

Dicho esto, Cobalt Strike sigue siendo la principal herramienta de seguridad ofensiva observada entre la infraestructura controlada por atacantes en 2023, seguida de Viper y Meterpreter, seg\u00fan un informe publicado por Recorded Future a principios de este mes.<\/p>\n

“Tanto Havoc como Mythic tambi\u00e9n se han vuelto relativamente populares, pero todav\u00eda se observan en cantidades mucho menores que Cobalt Strike, Meterpreter o Viper”, dijo la compa\u00f1\u00eda. dicho<\/a>. “Otros cuatro frameworks conocidos son Sliver, Havoc, Brute Ratel (BRc4) y Mythic”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n