{"id":1210057,"date":"2024-02-29T23:51:33","date_gmt":"2024-02-29T23:51:33","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-chinos-aprovechan-las-fallas-de-ivanti-vpn-para-implementar-nuevo-malware\/"},"modified":"2024-02-29T23:51:37","modified_gmt":"2024-02-29T23:51:37","slug":"hackers-chinos-aprovechan-las-fallas-de-ivanti-vpn-para-implementar-nuevo-malware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-chinos-aprovechan-las-fallas-de-ivanti-vpn-para-implementar-nuevo-malware\/","title":{"rendered":"Hackers chinos aprovechan las fallas de Ivanti VPN para implementar nuevo malware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/Hackers-chinos-aprovechan-las-fallas-de-Ivanti-VPN-para-implementar.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Al menos dos grupos diferentes de ciberespionaje sospechosos de estar vinculados a China, rastreados como <strong>UNC5325<\/strong> y <strong>UNC3886<\/strong>se han atribuido a la explotaci\u00f3n de fallas de seguridad en los dispositivos Ivanti Connect Secure VPN.<\/p>\n<p>UNC5325 abus\u00f3 de CVE-2024-21893 para entregar una amplia gama de nuevo malware llamado LITTLELAMB.WOOLTEA, PITSTOP, PITDOG, PITJET y PITHOOK, adem\u00e1s de intentar mantener el acceso persistente a los dispositivos comprometidos, dijo Mandiant.<\/p>\n<p>La firma de inteligencia de amenazas propiedad de Google ha evaluado con confianza moderada que UNC5325 est\u00e1 asociado con UNC3886 debido a las superposiciones de c\u00f3digo fuente en LITTLELAMB.WOOLTEA y PITHOOK con el malware utilizado por este \u00faltimo.<\/p>\n<p>Vale la pena se\u00f1alar que UNC3886 tiene un historial de aprovechar fallas de d\u00eda cero en soluciones Fortinet y VMware para implementar una variedad de implantes como VIRTUALPITA, VIRTUALPIE, THINCRUST y CASTLETAP.<\/p>\n<p>&#8220;UNC3886 se ha dirigido principalmente a la base industrial de defensa, la tecnolog\u00eda y las organizaciones de telecomunicaciones ubicadas en los EE. UU. y [Asia-Pacific] regiones&#8221;, investigadores de Mandiant <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/investigating-ivanti-exploitation-persistence\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>Se dice que la explotaci\u00f3n activa de CVE-2024-21893, una vulnerabilidad de falsificaci\u00f3n de solicitudes del lado del servidor (SSRF) en el componente SAML de Ivanti Connect Secure, Ivanti Policy Secure e Ivanti Neurons para ZTA, por parte de UNC5325 ocurri\u00f3 ya en enero. 19 de septiembre de 2024, dirigido a un n\u00famero limitado de dispositivos.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/delinea728\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1708073801_870_Red-del-gobierno-estatal-de-EE-UU-violada-a-traves.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La cadena de ataque implica combinar CVE-2024-21893 con una vulnerabilidad de inyecci\u00f3n de comandos previamente revelada y rastreada como CVE-2024-21887 para obtener acceso no autorizado a dispositivos susceptibles, lo que en \u00faltima instancia conduce a la implementaci\u00f3n de una nueva versi\u00f3n de BUSHWALK.<\/p>\n<p>Algunos casos tambi\u00e9n han implicado el uso indebido de componentes leg\u00edtimos de Ivanti, como los complementos de SparkGateway, para eliminar cargas \u00fatiles adicionales.  Esto incluye el complemento PITFUEL para cargar un objeto compartido malicioso con nombre en c\u00f3digo LITTLELAMB.WOOLTEA, que viene con capacidades para persistir en eventos de actualizaci\u00f3n del sistema, parches y restablecimientos de f\u00e1brica.<\/p>\n<p>\u201cSi bien los intentos limitados observados para mantener la persistencia no han tenido \u00e9xito hasta la fecha debido a una falta de l\u00f3gica en el c\u00f3digo del malware para tener en cuenta una discrepancia en la clave de cifrado, demuestra a\u00fan m\u00e1s hasta d\u00f3nde llegar\u00e1 UNC5325 para mantener el acceso a objetivos prioritarios y resalta la Es importante garantizar que los dispositivos de red tengan las \u00faltimas actualizaciones y parches\u201d, se\u00f1al\u00f3 la empresa.<\/p>\n<p>Adem\u00e1s, act\u00faa como una puerta trasera que admite la ejecuci\u00f3n de comandos, administraci\u00f3n de archivos, creaci\u00f3n de shell, proxy SOCKS y tunelizaci\u00f3n del tr\u00e1fico de red.<\/p>\n<p>Tambi\u00e9n se observa otro complemento malicioso de SparkGateway denominado PITDOG que inyecta un objeto compartido conocido como PITHOOK para ejecutar persistentemente un implante denominado PITSTOP que est\u00e1 dise\u00f1ado para la ejecuci\u00f3n de comandos de shell, escritura y lectura de archivos en el dispositivo comprometido.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1709250691_456_Hackers-chinos-aprovechan-las-fallas-de-Ivanti-VPN-para-implementar.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1709250691_456_Hackers-chinos-aprovechan-las-fallas-de-Ivanti-VPN-para-implementar.jpg\" alt=\"Defectos de Ivanti VPN\" border=\"0\" data-original-height=\"523\" data-original-width=\"728\" title=\"Defectos de Ivanti VPN\"\/><\/a><\/div>\n<p>Mandiant describi\u00f3 que el actor de amenazas demostr\u00f3 una &#8220;comprensi\u00f3n matizada del dispositivo y su capacidad para subvertir la detecci\u00f3n a lo largo de esta campa\u00f1a&#8221; y utiliz\u00f3 t\u00e9cnicas de vida de la tierra (LotL) para pasar desapercibido.<\/p>\n<p>La firma de ciberseguridad dijo que espera que &#8220;UNC5325, as\u00ed como otros actores de espionaje del nexo con China, contin\u00faen aprovechando las vulnerabilidades de d\u00eda cero en los dispositivos de borde de la red, as\u00ed como el malware espec\u00edfico de los dispositivos para obtener y mantener el acceso a los entornos de destino&#8221;.<\/p>\n<h3>V\u00ednculos encontrados entre Volt Typhoon y UTA0178<\/h3>\n<p>La divulgaci\u00f3n se produce cuando la empresa de ciberseguridad industrial Dragos <a rel=\"nofollow noopener\" href=\"https:\/\/hub.dragos.com\/report\/voltzite-espionage-operations-targeting-u.s.-critical-systems\" target=\"_blank\">atribuido<\/a> Volt Typhoon (tambi\u00e9n conocido como Voltzite) patrocinado por China para actividades de reconocimiento y enumeraci\u00f3n dirigidas a m\u00faltiples compa\u00f1\u00edas el\u00e9ctricas, servicios de emergencia, proveedores de telecomunicaciones, bases industriales de defensa y servicios satelitales con sede en EE. UU.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1707935543_510_La-herramienta-comando-no-encontrado-de-Ubuntu-podria-enganar-a.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Las acciones de Voltzite hacia entidades el\u00e9ctricas, telecomunicaciones y sistemas GIS de Estados Unidos significan objetivos claros para identificar vulnerabilidades dentro de la infraestructura cr\u00edtica del pa\u00eds que pueden ser explotadas en el futuro con ciberataques destructivos o disruptivos&#8221;, dijo.<\/p>\n<p>Desde entonces, la huella victimol\u00f3gica de Volt Typhoon se ha ampliado para incluir proveedores africanos de transmisi\u00f3n y distribuci\u00f3n el\u00e9ctrica, con evidencia que conecta al adversario con UTA0178, un grupo de actividad de amenazas vinculado a la explotaci\u00f3n de d\u00eda cero de las fallas de Ivanti Connect Secure a principios de diciembre de 2023.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1709250693_97_Hackers-chinos-aprovechan-las-fallas-de-Ivanti-VPN-para-implementar.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1709250693_97_Hackers-chinos-aprovechan-las-fallas-de-Ivanti-VPN-para-implementar.jpg\" alt=\"Defectos de Ivanti VPN\" border=\"0\" data-original-height=\"438\" data-original-width=\"728\" title=\"Defectos de Ivanti VPN\"\/><\/a><\/div>\n<p>El actor de ciberespionaje, que depende en gran medida de los m\u00e9todos de LotL para eludir la detecci\u00f3n, <a rel=\"nofollow noopener\" href=\"https:\/\/www.dragos.com\/blog\/industry-news\/2023-ot-cybersecurity-year-in-review-now-available\/\" target=\"_blank\">Uniones<\/a> Otros dos nuevos grupos, a saber, Gananite y Laurionite, que salieron a la luz en 2023, llevan a cabo operaciones de reconocimiento a largo plazo y robo de propiedad intelectual dirigidas a infraestructuras cr\u00edticas y entidades gubernamentales.<\/p>\n<p>&#8220;Voltzite utiliza herramientas m\u00ednimas y prefiere realizar sus operaciones ocupando el menor espacio posible&#8221;, explic\u00f3 Dragos.  &#8220;Voltzite se centra principalmente en la evasi\u00f3n de detecci\u00f3n y el acceso persistente a largo plazo con la intenci\u00f3n evaluada de espionaje a largo plazo y exfiltraci\u00f3n de datos&#8221;.<\/p>\n<p><em>(La historia se actualiz\u00f3 despu\u00e9s de la publicaci\u00f3n para enfatizar que los intentos de lograr persistencia en los dispositivos VPN no tuvieron \u00e9xito).<\/em><\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/chinese-hackers-exploiting-ivanti-vpn.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Al menos dos grupos diferentes de ciberespionaje sospechosos de estar vinculados a China, rastreados como UNC5325 y UNC3886se<\/p>\n","protected":false},"author":1,"featured_media":1210058,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,38098,4661,4289,4664,3233,4662,6369,32935,175996,4668,246,201033,4669,4654,201031,4659,4653,4655,480,18,4666,4665,201032,27565,4660],"class_list":["post-1210057","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-aprovechan","tag-ataques-ciberneticos","tag-chinos","tag-como-hackear","tag-fallas","tag-filtracion-de-datos","tag-hackers","tag-implementar","tag-ivanti","tag-la-seguridad-informatica","tag-las","tag-las-noticias-de-los-piratas-informaticos","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevo","tag-para","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-vpn","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1210057","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1210057"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1210057\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1210058"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1210057"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1210057"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1210057"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}