{"id":1283788,"date":"2024-07-19T22:20:11","date_gmt":"2024-07-19T22:20:11","guid":{"rendered":"https:\/\/teknomers.com\/es\/apt41-se-infiltra-en-redes-de-italia-espana-taiwan-turquia-y-el-reino-unido\/"},"modified":"2024-07-19T22:20:15","modified_gmt":"2024-07-19T22:20:15","slug":"apt41-se-infiltra-en-redes-de-italia-espana-taiwan-turquia-y-el-reino-unido","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/apt41-se-infiltra-en-redes-de-italia-espana-taiwan-turquia-y-el-reino-unido\/","title":{"rendered":"APT41 se infiltra en redes de Italia, Espa\u00f1a, Taiw\u00e1n, Turqu\u00eda y el Reino Unido"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">19 de julio de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de prensa<\/span><\/span><span class=\"p-tags\">Espionaje cibern\u00e9tico \/ Inteligencia sobre amenazas<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/APT41-se-infiltra-en-redes-de-Italia-Espana-Taiwan-Turquia.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Varias organizaciones que operan en los sectores de transporte y log\u00edstica global, medios de comunicaci\u00f3n y entretenimiento, tecnolog\u00eda y automoci\u00f3n en Italia, Espa\u00f1a, Taiw\u00e1n, Tailandia, Turqu\u00eda y el Reino Unido se han convertido en el objetivo de una &#8220;campa\u00f1a sostenida&#8221; por parte del prol\u00edfico grupo con sede en China. <strong>APT41<\/strong> grupo de hackers<\/p>\n<p>&#8220;APT41 se infiltr\u00f3 con \u00e9xito y mantuvo un acceso prolongado y no autorizado a las redes de numerosas v\u00edctimas desde 2023, lo que les permiti\u00f3 extraer datos confidenciales durante un per\u00edodo prolongado&#8221;, dijo Mandiant, propiedad de Google. <a rel=\"nofollow noopener\" href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/apt41-arisen-from-dust\" target=\"_blank\">dicho<\/a> en un nuevo informe publicado el jueves.<\/p>\n<p>La empresa de inteligencia sobre amenazas describi\u00f3 al colectivo adversario como \u00fanico entre los actores del nexo con China debido a su uso de &#8220;malware no p\u00fablico normalmente reservado para operaciones de espionaje en actividades que parecen quedar fuera del alcance de las misiones patrocinadas por el Estado&#8221;.<\/p>\n<p>Las cadenas de ataque implican el uso de shells web (ANTSWORD y BLUEBEAM), cuentagotas personalizados (DUSTPAN y DUSTTRAP) y herramientas disponibles p\u00fablicamente (SQLULDR2 y PINEGROVE) para lograr persistencia, entregar cargas \u00fatiles adicionales y exfiltrar datos de inter\u00e9s.<\/p>\n<p>Las capas web act\u00faan como un conducto para descargar el cuentagotas DUSTPAN (tambi\u00e9n conocido como StealthVector) que es responsable de cargar Cobalt Strike Beacon para la comunicaci\u00f3n de comando y control (C2), seguido por el despliegue del cuentagotas DUSTTRAP despu\u00e9s del movimiento lateral.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/encrypted-drives-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Apple-elimina-aplicaciones-VPN-de-la-App-Store-rusa-ante.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>DUSTTRAP, por su parte, est\u00e1 configurado para descifrar un payload malicioso y ejecutarlo en la memoria, que, a su vez, establece contacto con un servidor controlado por el atacante o una cuenta de Google Workspace comprometida en un intento de ocultar sus actividades maliciosas.<\/p>\n<p>Google afirm\u00f3 que las cuentas de Workspace identificadas fueron reparadas para evitar el acceso no autorizado. Sin embargo, no revel\u00f3 cu\u00e1ntas cuentas se vieron afectadas.<\/p>\n<p>Las intrusiones tambi\u00e9n se caracterizan por el uso de SQLULDR2 para exportar datos desde bases de datos Oracle a un archivo de texto local y PINEGROVE para transmitir grandes vol\u00famenes de datos confidenciales desde redes comprometidas abusando de Microsoft OneDrive como vector de exfiltraci\u00f3n.<\/p>\n<p>Vale la pena se\u00f1alar aqu\u00ed que las familias de malware que Mandiant rastrea como DUSTPAN y DUSTTRAP comparten superposiciones con aquellas que han sido denominadas en c\u00f3digo DodgeBox y MoonWalk, respectivamente, por Zscaler ThreatLabz.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/APT41-se-infiltra-en-redes-de-Italia-Espana-Taiwan-Turquia.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/APT41-se-infiltra-en-redes-de-Italia-Espana-Taiwan-Turquia.jpg\" alt=\"Piratas inform\u00e1ticos APT41\" border=\"0\" data-original-height=\"1080\" data-original-width=\"1313\" title=\"Piratas inform\u00e1ticos APT41\"\/><\/a><\/div>\n<p>&#8220;DUSTTRAP es un marco de complementos de varias etapas con m\u00faltiples componentes&#8221;, dijeron los investigadores de Mandiant, y agregaron que identific\u00f3 al menos 15 complementos que son capaces de ejecutar comandos de shell, realizar operaciones del sistema de archivos, enumerar y finalizar procesos, capturar pulsaciones de teclas y capturas de pantalla, recopilar informaci\u00f3n del sistema y modificar el Registro de Windows.<\/p>\n<p>Tambi\u00e9n est\u00e1 dise\u00f1ado para sondear hosts remotos, realizar b\u00fasquedas en el sistema de nombres de dominio (DNS), enumerar sesiones de escritorio remoto, cargar archivos y realizar diversas manipulaciones en Microsoft Active Directory.<\/p>\n<p>&#8220;El malware DUSTTRAP y sus componentes asociados que se observaron durante la intrusi\u00f3n estaban firmados con certificados de firma de c\u00f3digo presuntamente robados&#8221;, afirm\u00f3 la empresa. &#8220;Uno de los certificados de firma de c\u00f3digo parec\u00eda estar relacionado con una empresa surcoreana que opera en el sector de la industria del juego&#8221;.<\/p>\n<h3>GhostEmperor regresa para atormentarnos<\/h3>\n<p>La revelaci\u00f3n se produce cuando la empresa de ciberseguridad israel\u00ed Sygnia revel\u00f3 detalles de una campa\u00f1a de ciberataque montada por un sofisticado grupo de amenazas con nexo con China llamado GhostEmperor para distribuir una variante del rootkit Demodex.<\/p>\n<p>El m\u00e9todo exacto utilizado para acceder a los objetivos no est\u00e1 claro en la actualidad, aunque se ha observado anteriormente que el grupo explotaba fallos conocidos en aplicaciones conectadas a Internet. El acceso inicial facilita la ejecuci\u00f3n de un script por lotes de Windows, que descarga un archivo CAB (Archivo de gabinete) para, en \u00faltima instancia, iniciar un m\u00f3dulo de implantaci\u00f3n central. <\/p>\n<p>El implante est\u00e1 equipado para gestionar las comunicaciones C2 e instalar el rootkit del kernel Demodex mediante un proyecto de c\u00f3digo abierto llamado <a rel=\"nofollow noopener\" href=\"https:\/\/www.cheatengine.org\/\" target=\"_blank\">Motor de trampas<\/a> para evitar la aplicaci\u00f3n de firma del controlador de Windows (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/drivers\/install\/driver-signing\" target=\"_blank\">DSE<\/a>) mecanismo.<\/p>\n<p>&#8220;GhostEmperor emplea un malware de m\u00faltiples etapas para lograr una ejecuci\u00f3n sigilosa y persistente y utiliza varios m\u00e9todos para impedir el proceso de an\u00e1lisis&#8221;, dijo el investigador de seguridad Dor Nizar. <a rel=\"nofollow noopener\" href=\"https:\/\/www.sygnia.co\/blog\/ghost-emperor-demodex-rootkit\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/apt41-infiltrates-networks-in-italy.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80219 de julio de 2024\ue804Sala de prensaEspionaje cibern\u00e9tico \/ Inteligencia sobre amenazas Varias organizaciones que operan en los<\/p>\n","protected":false},"author":1,"featured_media":1283789,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,22061,4661,4664,1076,4662,59529,1275,4668,4667,239182,4654,239508,4658,4659,4653,253,3270,4666,4665,6065,5854,5329,239484],"class_list":["post-1283788","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apt41","tag-ataques-ciberneticos","tag-como-hackear","tag-espana","tag-filtracion-de-datos","tag-infiltra","tag-italia","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-redes","tag-reino","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-taiwan","tag-turquia","tag-unido","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1283788","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1283788"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1283788\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1283789"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1283788"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1283788"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1283788"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}