{"id":1302057,"date":"2024-08-02T17:37:20","date_gmt":"2024-08-02T17:37:20","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-de-apt41-utilizan-shadowpad-y-cobalt-strike-para-atacar-a-un-instituto-de-taiwan\/"},"modified":"2024-08-02T17:37:25","modified_gmt":"2024-08-02T17:37:25","slug":"los-piratas-informaticos-de-apt41-utilizan-shadowpad-y-cobalt-strike-para-atacar-a-un-instituto-de-taiwan","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-de-apt41-utilizan-shadowpad-y-cobalt-strike-para-atacar-a-un-instituto-de-taiwan\/","title":{"rendered":"Los piratas inform\u00e1ticos de APT41 utilizan ShadowPad y Cobalt Strike para atacar a un instituto de Taiw\u00e1n"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">02 de agosto de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Espionaje cibern\u00e9tico \/ Malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Los-piratas-informaticos-de-APT41-utilizan-ShadowPad-y-Cobalt-Strike.jpg\" style=\"display: block; text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Un instituto de investigaci\u00f3n afiliado al gobierno de Taiw\u00e1n que se especializa en inform\u00e1tica y tecnolog\u00edas asociadas fue violado por actores de amenazas de estados nacionales con v\u00ednculos con China, seg\u00fan nuevos hallazgos de Cisco Talos.<\/p>\n<p>La organizaci\u00f3n an\u00f3nima fue atacada a mediados de julio de 2023 para ofrecer una variedad de puertas traseras y herramientas posteriores a la vulneraci\u00f3n, como ShadowPad y Cobalt Strike. Se la ha atribuido con cierta certeza a un prol\u00edfico grupo de piratas inform\u00e1ticos identificado como APT41.<\/p>\n<p>&#8220;El malware ShadowPad utilizado en la campa\u00f1a actual explot\u00f3 una versi\u00f3n vulnerable y obsoleta del binario IME de Microsoft Office como cargador para cargar el cargador de segunda etapa personalizado para lanzar la carga \u00fatil&#8221;, dijeron los investigadores de seguridad Joey Chen, Ashley Shen y Vitor Ventura. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/chinese-hacking-group-apt41-compromised-taiwanese-government-affiliated-research-institute-with-shadowpad-and-cobaltstrike-2\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Los-anuncios-de-Facebook-conducen-a-sitios-web-falsos-que.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>&#8220;El actor de amenazas comprometi\u00f3 tres hosts en el entorno objetivo y pudo filtrar algunos documentos de la red&#8221;.<\/p>\n<p>Cisco Talos dijo que descubri\u00f3 la actividad en agosto de 2023 despu\u00e9s de detectar lo que describi\u00f3 como &#8220;comandos de PowerShell anormales&#8221; que se conectaban a una direcci\u00f3n IP para descargar y ejecutar scripts de PowerShell dentro del entorno comprometido.<\/p>\n<p>No se conoce el vector de acceso inicial exacto utilizado en el ataque, aunque implic\u00f3 el uso de un shell web para mantener el acceso persistente y soltar cargas \u00fatiles adicionales como ShadowPad y Cobalt Strike, este \u00faltimo entregado por medio de un cargador Cobalt Strike basado en Go llamado <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/Gality369\/CS-Loader\" target=\"_blank\">CS-Evitar matar<\/a>.<\/p>\n<p>&#8220;El malware Cobalt Strike se desarroll\u00f3 utilizando un cargador anti-AV para evitar la detecci\u00f3n de AV y evitar la cuarentena del producto de seguridad&#8221;, dijeron los investigadores.<\/p>\n<p>Alternativamente, se observ\u00f3 que el actor de amenazas ejecutaba comandos de PowerShell para iniciar scripts responsables de ejecutar ShadowPad en la memoria y obtener el malware Cobalt Strike de un servidor de comando y control (C2) comprometido. El cargador ShadowPad basado en DLL, tambi\u00e9n llamado <a rel=\"nofollow noopener\" href=\"https:\/\/www.pwc.co.uk\/issues\/cyber-security-services\/research\/chasing-shadows.html\" target=\"_blank\">Abeja dispersa<\/a>se ejecuta mediante carga lateral de DLL.<\/p>\n<p>Algunos de los otros pasos llevados a cabo como parte de la intrusi\u00f3n incluyeron el uso de Mimikatz para extraer contrase\u00f1as y la ejecuci\u00f3n de varios comandos para recopilar informaci\u00f3n sobre cuentas de usuario, estructura de directorios y configuraciones de red.<\/p>\n<p>&#8220;APT41 cre\u00f3 un cargador personalizado para inyectar una prueba de concepto para <a rel=\"nofollow noopener\" href=\"https:\/\/codewhitesec.blogspot.com\/2018\/06\/cve-2018-0624.html\" target=\"_blank\">CVE-2018-0824<\/a> directamente en la memoria, utilizando una vulnerabilidad de ejecuci\u00f3n de c\u00f3digo remoto para lograr una escalada de privilegios locales&#8221;, dijo Talos, se\u00f1alando la carga \u00fatil final, <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/codewhitesec\/UnmarshalPwn\/tree\/master\" target=\"_blank\">DesmarquePwn<\/a>se desata despu\u00e9s de pasar por tres etapas diferentes.<\/p>\n<p>El equipo de ciberseguridad tambi\u00e9n se\u00f1al\u00f3 los intentos del adversario de evitar ser detectado deteniendo su propia actividad al detectar otros usuarios en el sistema. &#8220;Una vez que se implementan las puertas traseras, el actor malicioso eliminar\u00e1 el shell web y la cuenta de invitado que permitieron el acceso inicial&#8221;, dijeron los investigadores.<\/p>\n<p>La revelaci\u00f3n se produce mientras Alemania <a rel=\"nofollow noopener\" href=\"https:\/\/www.bmi.bund.de\/SharedDocs\/pressemitteilungen\/DE\/2024\/07\/cyberangriff-bkg.html\" target=\"_blank\">revel\u00f3<\/a> A principios de esta semana, actores estatales chinos estaban detr\u00e1s de un ciberataque en 2021 a la agencia cartogr\u00e1fica nacional del pa\u00eds, la Oficina Federal de Cartograf\u00eda y Geodesia (BKG), con fines de espionaje.<\/p>\n<p>En respuesta a las acusaciones, la embajada de China en Berl\u00edn <a rel=\"nofollow noopener\" href=\"https:\/\/de.china-embassy.gov.cn\/det\/sgyw\/202408\/t20240801_11464611.htm\" target=\"_blank\">dicho<\/a> La acusaci\u00f3n es infundada y pide a Alemania &#8220;que detenga la pr\u00e1ctica de utilizar cuestiones de ciberseguridad para difamar a China pol\u00edticamente y en los medios de comunicaci\u00f3n&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/apt41-hackers-use-shadowpad-cobalt.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80202 de agosto de 2024\ue804Ravie LakshmananEspionaje cibern\u00e9tico \/ Malware Un instituto de investigaci\u00f3n afiliado al gobierno de Taiw\u00e1n<\/p>\n","protected":false},"author":1,"featured_media":1302058,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,22061,4586,4661,7985,4664,4662,6214,4000,4668,4667,36,239182,4654,239508,4658,4659,4653,18,6213,4666,4665,83719,7986,6065,10365,239484],"class_list":["post-1302057","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apt41","tag-atacar","tag-ataques-ciberneticos","tag-cobalt","tag-como-hackear","tag-filtracion-de-datos","tag-informaticos","tag-instituto","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-para","tag-piratas","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-shadowpad","tag-strike","tag-taiwan","tag-utilizan","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1302057","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1302057"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1302057\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1302058"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1302057"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1302057"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1302057"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}