{"id":1177444,"date":"2024-02-09T23:37:39","date_gmt":"2024-02-09T23:37:39","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-puerta-trasera-sigilosa-de-zardoor-apunta-a-una-organizacion-benefica-islamica-saudita\/"},"modified":"2024-02-09T23:37:44","modified_gmt":"2024-02-09T23:37:44","slug":"la-puerta-trasera-sigilosa-de-zardoor-apunta-a-una-organizacion-benefica-islamica-saudita","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-puerta-trasera-sigilosa-de-zardoor-apunta-a-una-organizacion-benefica-islamica-saudita\/","title":{"rendered":"La puerta trasera sigilosa de Zardoor apunta a una organizaci\u00f3n ben\u00e9fica isl\u00e1mica saudita"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">09 de febrero de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Ciberespionaje\/Inteligencia sobre amenazas<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/La-puerta-trasera-sigilosa-de-Zardoor-apunta-a-una-organizacion.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Una organizaci\u00f3n isl\u00e1mica sin fines de lucro an\u00f3nima en Arabia Saudita ha sido atacada como parte de una campa\u00f1a sigilosa de ciberespionaje dise\u00f1ada para eliminar una puerta trasera previamente indocumentada llamada <strong>zardoor<\/strong>.<\/p>\n<p>Cisco Talos, que descubri\u00f3 la actividad en mayo de 2023, dijo que la campa\u00f1a probablemente ha persistido desde al menos marzo de 2021, y agreg\u00f3 que hasta la fecha solo ha identificado un objetivo comprometido, aunque se sospecha que podr\u00eda haber otras v\u00edctimas.<\/p>\n<p>&#8220;A lo largo de la campa\u00f1a, el adversario utiliz\u00f3 binarios que viven de la tierra (LoLBins) para desplegar puertas traseras, establecer comando y control (C2) y mantener la persistencia&#8221;, dijeron los investigadores de seguridad Jungsoo An, Wayne Lee y Vanja Svajcer. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/new-zardoor-backdoor\/\" target=\"_blank\">dicho<\/a>destacando la capacidad del actor de amenazas para mantener el acceso a largo plazo a los entornos de las v\u00edctimas sin llamar la atenci\u00f3n.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1707374609_906_Parches-criticos-lanzados-para-nuevas-fallas-en-productos-Cisco-Fortinet.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La intrusi\u00f3n dirigida a la organizaci\u00f3n ben\u00e9fica isl\u00e1mica implic\u00f3 la filtraci\u00f3n peri\u00f3dica de datos aproximadamente dos veces al mes.  Actualmente se desconoce el vector de acceso inicial exacto utilizado para infiltrarse en la entidad.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1707521859_472_La-puerta-trasera-sigilosa-de-Zardoor-apunta-a-una-organizacion.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1707521859_472_La-puerta-trasera-sigilosa-de-Zardoor-apunta-a-una-organizacion.jpg\" alt=\"Puerta trasera sigilosa de Zardoor\" border=\"0\" data-original-height=\"720\" data-original-width=\"728\" title=\"Puerta trasera sigilosa de Zardoor\"\/><\/a><\/div>\n<p>Sin embargo, el punto de apoyo obtenido se aprovech\u00f3 para abandonar Zardoor por motivos de persistencia, seguido del establecimiento de conexiones C2 utilizando herramientas de proxy inverso de c\u00f3digo abierto como Fast Reverse Proxy (<a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/fatedier\/frp\" target=\"_blank\">FRP<\/a>), <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/tostercx\/ssocks\" target=\"_blank\">calcetines<\/a>y <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/Dliv3\/Venom\" target=\"_blank\">Veneno<\/a>.<\/p>\n<p>&#8220;Una vez que se estableci\u00f3 una conexi\u00f3n, el actor de amenazas utiliz\u00f3 el Instrumental de administraci\u00f3n de Windows (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/wmisdk\/wmi-start-page\" target=\"_blank\">WMI<\/a>) para moverse lateralmente y difundir las herramientas del atacante, incluido Zardoor, generando procesos en el sistema objetivo y ejecutando comandos recibidos del C2&#8243;, dijeron los investigadores.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/Despues-del-derribo-del-FBI-los-operadores-de-KV-Botnet-cambian.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La ruta de infecci\u00f3n a\u00fan indeterminada allana el camino para un componente dropper que, a su vez, implementa una biblioteca de enlaces din\u00e1micos maliciosa (&#8220;oci.dll&#8221;) que es responsable de entregar dos m\u00f3dulos de puerta trasera, &#8220;zar32.dll&#8221; y &#8220;zor32&#8243;. .dll.&#8221;<\/p>\n<p>Mientras que el primero es el elemento central de puerta trasera que facilita las comunicaciones C2, el segundo garantiza que &#8220;zar32.dll&#8221; se haya implementado con privilegios de administrador.  Zardoor es capaz de filtrar datos, ejecutar ejecutables y c\u00f3digos de shell obtenidos de forma remota, actualizar la direcci\u00f3n IP C2 y eliminarse del host.<\/p>\n<p>Los or\u00edgenes del actor de amenazas detr\u00e1s de la campa\u00f1a no est\u00e1n claros y no comparte ninguna superposici\u00f3n t\u00e1ctica con un actor de amenazas conocido y reportado p\u00fablicamente en este momento.  Dicho esto, se considera obra de un &#8220;actor de amenazas avanzado&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/stealthy-zardoor-backdoor-targets-saudi.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80209 de febrero de 2024\ue804Sala de redacci\u00f3nCiberespionaje\/Inteligencia sobre amenazas Una organizaci\u00f3n isl\u00e1mica sin fines de lucro an\u00f3nima en<\/p>\n","protected":false},"author":1,"featured_media":1177445,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2490,4661,8813,4664,4662,37098,4668,201033,4654,201031,4659,4653,4655,3516,1732,20958,4666,4665,90871,201032,7157,158,4660,230111],"class_list":["post-1177444","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apunta","tag-ataques-ciberneticos","tag-benefica","tag-como-hackear","tag-filtracion-de-datos","tag-islamica","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-organizacion","tag-puerta","tag-saudita","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sigilosa","tag-software-malicioso-ransomware","tag-trasera","tag-una","tag-vulnerabilidad-de-software","tag-zardoor"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1177444","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1177444"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1177444\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1177445"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1177444"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1177444"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1177444"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}