Una campa\u00f1a de ciberespionaje elusiva y sofisticada orquestada por el grupo Winnti respaldado por China ha logrado pasar desapercibida desde al menos 2019.<\/p>\n
Doblado “Operaci\u00f3n CuckooBees<\/b>” por la compa\u00f1\u00eda de ciberseguridad israel\u00ed Cybereason, la operaci\u00f3n de robo masivo de propiedad intelectual permiti\u00f3 al actor de amenazas filtrar cientos de gigabytes de informaci\u00f3n.<\/p>\n
Los objetivos inclu\u00edan empresas de tecnolog\u00eda y fabricaci\u00f3n ubicadas principalmente en el este de Asia, Europa occidental y Am\u00e9rica del Norte.<\/p>\n
“Los atacantes se dirigieron a la propiedad intelectual desarrollada por las v\u00edctimas, incluidos documentos confidenciales, planos, diagramas, f\u00f3rmulas y datos patentados relacionados con la fabricaci\u00f3n”, dijeron los investigadores. dicho<\/a>.<\/p>\n “Adem\u00e1s, los atacantes recopilaron informaci\u00f3n que podr\u00eda usarse para futuros ataques cibern\u00e9ticos, como detalles sobre las unidades comerciales de la empresa objetivo, la arquitectura de la red, las cuentas y credenciales de los usuarios, los correos electr\u00f3nicos de los empleados y los datos de los clientes”.<\/p>\n Se sabe que Winnti, tambi\u00e9n rastreado por otros proveedores de seguridad cibern\u00e9tica bajo los nombres APT41, Axiom, Bario y Bronze Atlas, est\u00e1 activo desde al menos 2007.<\/p>\n “La intenci\u00f3n del grupo es el robo de propiedad intelectual de organizaciones en econom\u00edas desarrolladas, y con una confianza moderada de que esto es en nombre de China para respaldar la toma de decisiones en una variedad de sectores econ\u00f3micos chinos”, dijo Secureworks. notas<\/a> en un perfil de amenaza del actor.<\/p>\n La cadena de infecci\u00f3n de varias fases documentada por Cybereason implica la explotaci\u00f3n de servidores conectados a Internet para implementar un shell web con el objetivo de realizar actividades de reconocimiento, movimiento lateral y exfiltraci\u00f3n de datos.<\/p>\n Es a la vez complejo e intrincado, siguiendo un enfoque de “castillo de naipes” en el que cada componente de la cadena de eliminaci\u00f3n depende de otros m\u00f3dulos para funcionar, lo que hace que el an\u00e1lisis sea extremadamente dif\u00edcil.<\/p>\n “Esto demuestra el pensamiento y el esfuerzo que se puso tanto en el malware como en las consideraciones de seguridad operativa, lo que hace que sea casi imposible de analizar a menos que todas las piezas del rompecabezas se ensamblen en el orden correcto”, explicaron los investigadores.<\/p>\n La recopilaci\u00f3n de datos se facilita por medio de un cargador modular llamado Spyder, que se utiliza para descifrar y cargar cargas \u00fatiles adicionales. Tambi\u00e9n se utilizan cuatro cargas \u00fatiles diferentes: STASHLOG, SPARKLOG, PRIVATELOG y DEPLOYLOG, que se implementan secuencialmente para eliminar WINNKIT, un rootkit a nivel de kernel.<\/p>\n Crucial para el sigilo de la campa\u00f1a es el uso de t\u00e9cnicas “rara vez vistas”, como el abuso del sistema de archivos de registro com\u00fan de Windows (CLFS<\/a>) mecanismo para esconder las cargas \u00fatiles, lo que permite al grupo de pirater\u00eda ocultar sus cargas \u00fatiles y evadir la detecci\u00f3n de los productos de seguridad tradicionales.<\/p>\n Curiosamente, Mandiant detall\u00f3 previamente partes de la secuencia de ataque en septiembre de 2021, al tiempo que se\u00f1al\u00f3 el uso indebido de CLFS para ocultar las cargas \u00fatiles de la segunda etapa en un intento de eludir la detecci\u00f3n.<\/p>\n La firma de ciberseguridad atribuy\u00f3 el malware a un actor desconocido, pero advirti\u00f3 que podr\u00eda haberse implementado como parte de una actividad altamente dirigida.<\/p>\n “Debido a que el formato de archivo no se usa ni documenta ampliamente, no hay herramientas disponibles que puedan analizar los archivos de registro de CLFS”, dijo Mandiant en ese momento. “Esto brinda a los atacantes la oportunidad de ocultar sus datos como registros de una manera conveniente, ya que se puede acceder a ellos a trav\u00e9s de las funciones de la API”.<\/p>\n![\"piratas](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/1651684942_893_Piratas-informaticos-chinos-atrapados-robando-propiedad-intelectual-de-empresas-multinacionales.jpg\" "\\"piratas")
<\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n