{"id":1280154,"date":"2024-07-17T09:13:28","date_gmt":"2024-07-17T09:13:28","guid":{"rendered":"https:\/\/teknomers.com\/es\/apt17-vinculado-a-china-ataca-a-empresas-italianas-con-malware-9002-rat\/"},"modified":"2024-07-17T09:13:33","modified_gmt":"2024-07-17T09:13:33","slug":"apt17-vinculado-a-china-ataca-a-empresas-italianas-con-malware-9002-rat","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/apt17-vinculado-a-china-ataca-a-empresas-italianas-con-malware-9002-rat\/","title":{"rendered":"APT17, vinculado a China, ataca a empresas italianas con malware 9002 RAT"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>17 de julio de 2024<\/span>\ue804<\/i>Sala de prensa<\/span><\/span>Espionaje cibern\u00e9tico \/ Inteligencia sobre amenazas<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Un actor de amenazas vinculado a China llamado APT17<\/strong> Se ha observado que ataca a empresas y entidades gubernamentales italianas y utiliza una variante de un malware conocido como 9002 RAT.<\/p>\n

Los dos ataques selectivos tuvieron lugar el 24 de junio y el 2 de julio de 2024, dijo la empresa italiana de ciberseguridad TG Soft en un an\u00e1lisis publicado la semana pasada.<\/p>\n

“La primera campa\u00f1a del 24 de junio de 2024 utiliz\u00f3 un documento de Office, mientras que la segunda campa\u00f1a conten\u00eda un enlace”, dijo la empresa. anotado<\/a>“Ambas campa\u00f1as invitaban a la v\u00edctima a instalar un paquete de Skype for Business desde un enlace de un dominio similar al del gobierno italiano para transmitir una variante de 9002 RAT”.<\/p>\n

\"La<\/a><\/center><\/section>\n

APT17 fue documentado por primera vez por Mandiant (entonces FireEye), propiedad de Google, en 2013 como parte de operaciones de espionaje cibern\u00e9tico llamadas Diputado Dog<\/a> y Hidra ef\u00edmera<\/a> que aprovech\u00f3 fallas de d\u00eda cero en Internet Explorer de Microsoft para atacar objetivos de inter\u00e9s.<\/p>\n

Tambi\u00e9n se le conoce por los apodos Aurora Panda, Bronze Keystone, Dogfish, Elderwood, Helium, Hidden Lynx y TEMP.Avengers, sin mencionar que comparte cierto nivel de superposici\u00f3n de herramientas con otro actor de amenazas denominado Webworm.<\/p>\n

9002 RATA<\/a>tambi\u00e9n conocido como Hydraq y McRAT, alcanz\u00f3 notoriedad como el arma cibernetica<\/a> de elecci\u00f3n<\/a> en la Operaci\u00f3n Aurora que se\u00f1alado<\/a> Google y otras grandes empresas en 2009. Posteriormente tambi\u00e9n se utiliz\u00f3 en otra campa\u00f1a de 2013 denominada Tienda solar<\/a> en el que los atacantes inyectaron redirecciones maliciosas en varios sitios web.<\/p>\n

Las \u00faltimas cadenas de ataque implican el uso de se\u00f1uelos de phishing para enga\u00f1ar a los destinatarios para que hagan clic en un enlace que los insta a descargar un instalador MSI para Skype for Business (“SkypeMeeting.msi”).<\/p>\n

Al ejecutar el paquete MSI se activa la ejecuci\u00f3n de un archivo JAR (Java Archive) a trav\u00e9s de un Visual Basic Script (VBS), al mismo tiempo que se instala el software de chat leg\u00edtimo en el sistema Windows. La aplicaci\u00f3n Java, a su vez, descifra y ejecuta el c\u00f3digo shell responsable de ejecutar 9002 RAT.<\/p>\n

A troyano modular<\/a>9002 RAT viene con funciones para monitorear el tr\u00e1fico de red, capturar capturas de pantalla, enumerar archivos, administrar procesos y ejecutar comandos adicionales recibidos de un servidor remoto para facilitar el descubrimiento de la red, entre otros.<\/p>\n

“El malware parece actualizarse constantemente con variantes sin disco”, dijo TG Soft. “Est\u00e1 compuesto por varios m\u00f3dulos que se activan seg\u00fan las necesidades del cibercriminal para reducir la posibilidad de interceptaci\u00f3n”.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n