{"id":1306051,"date":"2024-08-05T22:03:16","date_gmt":"2024-08-05T22:03:16","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-vinculados-a-china-comprometen-a-isp-para-implementar-actualizaciones-de-software-maliciosas\/"},"modified":"2024-08-05T22:03:20","modified_gmt":"2024-08-05T22:03:20","slug":"hackers-vinculados-a-china-comprometen-a-isp-para-implementar-actualizaciones-de-software-maliciosas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-vinculados-a-china-comprometen-a-isp-para-implementar-actualizaciones-de-software-maliciosas\/","title":{"rendered":"Hackers vinculados a China comprometen a ISP para implementar actualizaciones de software maliciosas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">5 de agosto de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad del navegador \/ Seguridad de Windows<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Hackers-vinculados-a-China-comprometen-a-ISP-para-implementar-actualizaciones.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>El actor de amenazas vinculado a China conocido como <strong>Panda evasivo<\/strong> comprometi\u00f3 a un proveedor de servicios de Internet (ISP) an\u00f3nimo para enviar actualizaciones de software malicioso a las empresas objetivo a mediados de 2023, lo que pone de relieve un nuevo nivel de sofisticaci\u00f3n asociado con el grupo.<\/p>\n<p>Evasive Panda, tambi\u00e9n conocido por los nombres Bronze Highland, Daggerfly y StormBamboo, es un grupo de espionaje cibern\u00e9tico que ha estado activo desde al menos 2012, aprovechando puertas traseras como MgBot (tambi\u00e9n conocido como POCOSTICK) y Nightdoor (tambi\u00e9n conocido como NetMM y Suzafk) para recopilar informaci\u00f3n confidencial.<\/p>\n<p>M\u00e1s recientemente, se atribuy\u00f3 formalmente al actor de amenazas el uso de una cepa de malware para macOS llamada MACMA, que se ha observado en actividad desde 2021.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ever-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Investigadores-descubren-fallas-en-Windows-Smart-App-Control-y-SmartScreen.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;StormBamboo es un actor de amenazas altamente calificado y agresivo que compromete a terceros (en este caso, un ISP) para vulnerar los objetivos previstos&#8221;, Volexity <a rel=\"nofollow noopener\" href=\"https:\/\/www.volexity.com\/blog\/2024\/08\/02\/stormbamboo-compromises-isp-to-abuse-insecure-software-update-mechanisms\/\" target=\"_blank\">dicho<\/a> en un informe publicado la semana pasada.<\/p>\n<p>&#8220;La variedad de malware empleado en varias campa\u00f1as por este actor de amenazas indica que se invierte un esfuerzo significativo, con cargas \u00fatiles respaldadas activamente no solo para macOS y Windows, sino tambi\u00e9n para dispositivos de red&#8221;.<\/p>\n<p>Los informes p\u00fablicos de ESET y Symantec durante los \u00faltimos dos a\u00f1os han documentado el uso de MgBot por parte de Evasive Panda y su historial de orquestaci\u00f3n de ataques a pozos de agua y cadenas de suministro dirigidos a usuarios tibetanos.<\/p>\n<p>Tambi\u00e9n se descubri\u00f3 que hab\u00eda atacado a una organizaci\u00f3n no gubernamental (ONG) internacional en China continental con MgBot distribuido a trav\u00e9s de canales de actualizaci\u00f3n de aplicaciones leg\u00edtimas como Tencent QQ.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Hackers-vinculados-a-China-comprometen-a-ISP-para-implementar-actualizaciones.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Hackers-vinculados-a-China-comprometen-a-ISP-para-implementar-actualizaciones.jpg\" alt=\"Actualizaciones de software malicioso\" border=\"0\" data-original-height=\"500\" data-original-width=\"728\" title=\"Actualizaciones de software malicioso\"\/><\/a><\/div>\n<p>Si bien se especul\u00f3 que las actualizaciones troyanizadas fueron el resultado de un compromiso de la cadena de suministro de los servidores de actualizaci\u00f3n de Tencent QQ o un caso de un ataque de adversario en el medio (AitM), el an\u00e1lisis de Volexity confirma que este \u00faltimo se debe a un ataque de envenenamiento de DNS a nivel de ISP.<\/p>\n<p>En concreto, se dice que el actor de la amenaza est\u00e1 alterando las respuestas de las consultas DNS para dominios espec\u00edficos vinculados a mecanismos autom\u00e1ticos de actualizaci\u00f3n de software, yendo tras software que utiliza mecanismos de actualizaci\u00f3n inseguros, como HTTP, o que no aplica controles de integridad adecuados de los instaladores.<\/p>\n<p>&#8220;Se descubri\u00f3 que StormBamboo envenen\u00f3 las solicitudes DNS para implementar malware a trav\u00e9s de un mecanismo de actualizaci\u00f3n autom\u00e1tica HTTP y envenen\u00f3 las respuestas de nombres de host leg\u00edtimos que se usaron como servidores de comando y control (C2) de segunda etapa&#8221;, dijeron los investigadores Ankur Saini, Paul Rascagneres, Steven Adair y Thomas Lancaster.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Los-anuncios-de-Facebook-conducen-a-sitios-web-falsos-que.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Las cadenas de ataque son bastante sencillas, ya que se abusa de los mecanismos de actualizaci\u00f3n inseguros para enviar MgBot o MACMA, seg\u00fan el sistema operativo utilizado. Volexity afirm\u00f3 que notific\u00f3 al ISP en cuesti\u00f3n para que remediara el ataque de envenenamiento de DNS.<\/p>\n<p>Un caso tambi\u00e9n implic\u00f3 la implementaci\u00f3n de una extensi\u00f3n de Google Chrome en el dispositivo macOS de la v\u00edctima modificando el archivo de preferencias seguras. El complemento del navegador pretende ser una herramienta que carga una p\u00e1gina en modo de compatibilidad con Internet Explorer, pero su objetivo principal es exfiltrar cookies del navegador a una cuenta de Google Drive controlada por el adversario.<\/p>\n<p>&#8220;El atacante puede interceptar solicitudes DNS y envenenarlas con direcciones IP maliciosas, y luego usar esta t\u00e9cnica para abusar de los mecanismos de actualizaci\u00f3n autom\u00e1tica que utilizan HTTP en lugar de HTTPS&#8221;, dijeron los investigadores.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/china-linked-hackers-compromise-isp-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue8025 de agosto de 2024\ue804Ravie LakshmananSeguridad del navegador \/ Seguridad de Windows El actor de amenazas vinculado a<\/p>\n","protected":false},"author":1,"featured_media":1306052,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[5152,4657,4656,4661,73,4664,24427,4662,6369,32935,38991,4668,4667,7355,239182,4654,239508,4658,4659,4653,18,4666,4665,6246,39262,239484],"class_list":["post-1306051","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-china","tag-como-hackear","tag-comprometen","tag-filtracion-de-datos","tag-hackers","tag-implementar","tag-isp","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-maliciosas","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-para","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software","tag-vinculados","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1306051","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1306051"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1306051\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1306052"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1306051"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1306051"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1306051"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}