{"id":1262135,"date":"2024-07-03T15:55:12","date_gmt":"2024-07-03T15:55:12","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackean-servidor-de-proveedor-de-erp-de-corea-del-sur-para-propagar-malware-xctdoor\/"},"modified":"2024-07-03T15:55:17","modified_gmt":"2024-07-03T15:55:17","slug":"hackean-servidor-de-proveedor-de-erp-de-corea-del-sur-para-propagar-malware-xctdoor","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackean-servidor-de-proveedor-de-erp-de-corea-del-sur-para-propagar-malware-xctdoor\/","title":{"rendered":"Hackean servidor de proveedor de ERP de Corea del Sur para propagar malware Xctdoor"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">3 de julio de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de prensa<\/span><\/span><span class=\"p-tags\">Malware\/Inteligencia sobre amenazas<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Hackean-servidor-de-proveedor-de-ERP-de-Corea-del-Sur.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Se ha descubierto que el servidor de actualizaci\u00f3n de productos de un proveedor de planificaci\u00f3n de recursos empresariales (ERP) de Corea del Sur no identificado est\u00e1 comprometido para distribuir una puerta trasera basada en Go denominada Xctdoor.<\/p>\n<p>El Centro de Inteligencia de Seguridad AhnLab (ASEC), que <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/67558\/\" target=\"_blank\">identificado<\/a> El ataque de mayo de 2024 no se atribuy\u00f3 a un actor o grupo de amenazas conocido, pero se se\u00f1al\u00f3 que las t\u00e1cticas se superponen con las de Andariel, un subgrupo dentro del infame Grupo Lazarus.<\/p>\n<p>Las similitudes se deben al uso previo por parte del adversario norcoreano de la soluci\u00f3n ERP para distribuir malware como HotCroissant (que es id\u00e9ntico a Rifdoor) en 2017, insertando una rutina maliciosa en un programa de actualizaci\u00f3n de software.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/auditboard-it-risk-now\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/1718513814_760_Hacker-britanico-vinculado-al-notorio-grupo-de-aranas-dispersas-arrestado.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>En el reciente incidente analizado por ASEC, se dice que el mismo ejecutable fue manipulado para ejecutar un archivo DLL desde una ruta espec\u00edfica utilizando el <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-server\/administration\/windows-commands\/regsvr32\" target=\"_blank\">proceso regsvr32.exe<\/a> en lugar de iniciar un descargador.<\/p>\n<p>El archivo DLL, Xctdoor, es capaz de robar informaci\u00f3n del sistema, incluidas pulsaciones de teclas, capturas de pantalla y contenido del portapapeles, y ejecutar comandos emitidos por el actor de la amenaza.<\/p>\n<p>&#8220;Xctdoor se comunica con el [command-and-control] El servidor utiliza el protocolo HTTP, mientras que el cifrado de paquetes emplea el algoritmo Mersenne Twister (MT19937) y el algoritmo Base64&#8221;, dijo ASEC.<\/p>\n<p>Tambi\u00e9n se utiliza en el ataque un malware llamado XcLoader, que act\u00faa como un malware inyector responsable de inyectar Xctdoor en procesos leg\u00edtimos (por ejemplo, &#8220;explorer.exe&#8221;).<\/p>\n<p>ASEC afirm\u00f3 que detect\u00f3 adem\u00e1s casos en los que servidores web poco seguros se vieron comprometidos para instalar XcLoader desde al menos marzo de 2024.<\/p>\n<p>El desarrollo se produce luego de que otro actor de amenazas vinculado con Corea del Norte, conocido como Kimusky, ha sido observado empleando una puerta trasera previamente no documentada con nombre en c\u00f3digo <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/ko\/67128\/\" target=\"_blank\">Puerta feliz<\/a> que se ha puesto en uso desde julio de 2021.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ad-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Sticky-Werewolf-amplia-los-objetivos-de-los-ciberataques-en-Rusia.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Las cadenas de ataque que distribuyen el malware aprovechan los correos electr\u00f3nicos de phishing como punto de partida para difundir un archivo comprimido, que contiene un JavaScript ofuscado o un cuentagotas que, cuando se ejecuta, crea y ejecuta HappyDoor junto con un archivo se\u00f1uelo.<\/p>\n<p>HappyDoor, un archivo DLL ejecutado a trav\u00e9s de regsvr32.exe, est\u00e1 equipado para comunicarse con un servidor remoto a trav\u00e9s de HTTP y facilitar el robo de informaci\u00f3n, la descarga\/carga de archivos, as\u00ed como actualizarse y finalizarse.<\/p>\n<p>Tambi\u00e9n sigue una campa\u00f1a de distribuci\u00f3n de malware &#8220;masiva&#8221; orquestada por el grupo de ciberespionaje Konni (tambi\u00e9n conocido como Opal Sleet, Osmium o TA406) que apunta a Corea del Sur con se\u00f1uelos de phishing que se hacen pasar por el servicio fiscal nacional para entregar malware capaz de robar informaci\u00f3n confidencial, dijo el investigador de seguridad Idan Tarab. <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/feed\/update\/urn:li:activity:7213160127846125569\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/south-korean-erp-vendors-server-hacked.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue8023 de julio de 2024\ue804Sala de prensaMalware\/Inteligencia sobre amenazas Se ha descubierto que el servidor de actualizaci\u00f3n de<\/p>\n","protected":false},"author":1,"featured_media":1262136,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,1939,38,57617,4662,15213,4668,4667,4669,239182,4654,239508,4658,4659,4653,18,37647,3317,4666,4665,42529,758,239484,240574],"class_list":["post-1262135","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-corea","tag-del","tag-erp","tag-filtracion-de-datos","tag-hackean","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-para","tag-propagar","tag-proveedor","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-servidor","tag-sur","tag-vulnerabilidad-del-software","tag-xctdoor"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1262135","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1262135"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1262135\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1262136"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1262135"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1262135"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1262135"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}