{"id":1314381,"date":"2024-08-12T04:45:13","date_gmt":"2024-08-12T04:45:13","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-ataque-de-eastwind-implementa-puertas-traseras-plugy-y-grewapacha-utilizando-archivos-lnk-con-trampas-explosivas\/"},"modified":"2024-08-12T04:45:18","modified_gmt":"2024-08-12T04:45:18","slug":"el-ataque-de-eastwind-implementa-puertas-traseras-plugy-y-grewapacha-utilizando-archivos-lnk-con-trampas-explosivas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-ataque-de-eastwind-implementa-puertas-traseras-plugy-y-grewapacha-utilizando-archivos-lnk-con-trampas-explosivas\/","title":{"rendered":"El ataque de EastWind implementa puertas traseras PlugY y GrewApacha utilizando archivos LNK con trampas explosivas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">12 de agosto de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad en la nube\/Malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/El-ataque-de-EastWind-implementa-puertas-traseras-PlugY-y-GrewApacha.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>El gobierno ruso y las organizaciones de TI son el objetivo de una nueva campa\u00f1a que distribuye una serie de puertas traseras y troyanos como parte de una campa\u00f1a de phishing con nombre en c\u00f3digo <b>Viento del este<\/b>.<\/p>\n<p>Las cadenas de ataque se caracterizan por el uso de archivos adjuntos en formato RAR que contienen un archivo de acceso directo de Windows (LNK) que, al abrirse, activa la secuencia de infecci\u00f3n, que culmina con el despliegue de malware como GrewApacha, una versi\u00f3n actualizada del backdoor CloudSorcerer y un implante previamente no documentado denominado PlugY.<\/p>\n<p>PlugY &#8220;se descarga a trav\u00e9s de la puerta trasera CloudSorcerer, tiene un amplio conjunto de comandos y admite tres protocolos diferentes para comunicarse con el servidor de comando y control&#8221;, dijo la empresa de ciberseguridad rusa Kaspersky. <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.ru\/eastwind-apt-campaign\/110020\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>El vector de infecci\u00f3n inicial se basa en un archivo LNK con trampa explosiva, que emplea <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/002\/\" target=\"_blank\">T\u00e9cnicas de carga lateral de DLL<\/a> para lanzar un archivo DLL malicioso que utiliza Dropbox como mecanismo de comunicaci\u00f3n para ejecutar comandos de reconocimiento y descargar cargas \u00fatiles adicionales.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/inside-a-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Nuevas-fallas-en-los-altavoces-inteligentes-Sonos-permiten-a-los.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Entre el malware distribuido mediante la DLL se encuentra GrewApacha, una puerta trasera conocida <a rel=\"nofollow noopener\" href=\"https:\/\/www.ptsecurity.com\/ru-ru\/research\/pt-esc-threat-intelligence\/apt31-new-attacks\/\" target=\"_blank\">previamente<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/habr.com\/ru\/companies\/solarsecurity\/articles\/723526\/\" target=\"_blank\">vinculado<\/a> al grupo APT31 vinculado a China. Tambi\u00e9n se lanz\u00f3 mediante carga lateral de DLL y utiliza un perfil de GitHub controlado por el atacante como <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1102\/001\/\" target=\"_blank\">resolver de punto muerto<\/a> para almacenar una cadena codificada en Base64 del servidor C2 real.<\/p>\n<p>Por otro lado, CloudSorcerer es una sofisticada herramienta de ciberespionaje que se utiliza para el monitoreo oculto, la recopilaci\u00f3n de datos y la exfiltraci\u00f3n a trav\u00e9s de la infraestructura en la nube de Microsoft Graph, Yandex Cloud y Dropbox. Al igual que en el caso de GrewApacha, la variante actualizada aprovecha plataformas leg\u00edtimas como LiveJournal y Quora como servidor C2 inicial.<\/p>\n<p>&#8220;Al igual que con las versiones anteriores de CloudSorcerer, las biograf\u00edas de los perfiles contienen un token de autenticaci\u00f3n cifrado para interactuar con el servicio en la nube&#8221;, dijo Kaspersky.<\/p>\n<p>Adem\u00e1s, utiliza un mecanismo de protecci\u00f3n basado en cifrado que garantiza que el malware se detone solo en la computadora de la v\u00edctima mediante una clave \u00fanica derivada del sistema operativo Windows. <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/api\/sysinfoapi\/nf-sysinfoapi-gettickcount\" target=\"_blank\">Funci\u00f3n GetTickCount()<\/a> en tiempo de ejecuci\u00f3n.<\/p>\n<p>La tercera familia de malware observada en los ataques es PlugY, una puerta trasera con todas las funciones que se conecta a un servidor de administraci\u00f3n mediante TCP, UDP o canales con nombre y viene con capacidades para ejecutar comandos de shell, monitorear la pantalla del dispositivo, registrar pulsaciones de teclas y capturar el contenido del portapapeles.<\/p>\n<p>Kaspersky dijo que un an\u00e1lisis del c\u00f3digo fuente de PlugX descubri\u00f3 similitudes con una puerta trasera conocida llamada DRBControl (tambi\u00e9n conocida como <a rel=\"nofollow noopener\" href=\"https:\/\/www.talent-jump.com\/article\/2020\/02\/17\/CLAMBLING-A-New-Backdoor-Base-On-Dropbox-en\/\" target=\"_blank\">Almejas<\/a>), que ha sido <a rel=\"nofollow noopener\" href=\"https:\/\/www.securityjoes.com\/post\/apt27-turns-to-ransomware\" target=\"_blank\">atribuido<\/a> a los grupos de amenazas del nexo con China identificados como APT27 y APT41. <\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1723190360_817_El-Departamento-de-Justicia-acusa-a-un-hombre-de-Nashville.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>&#8220;Los atacantes detr\u00e1s de la campa\u00f1a EastWind utilizaron servicios de red populares como servidores de comando: GitHub, Dropbox, Quora, as\u00ed como los rusos LiveJournal y Yandex Disk&#8221;, dijo la compa\u00f1\u00eda.<\/p>\n<p>La revelaci\u00f3n viene de Kaspersky, quien tambi\u00e9n detall\u00f3 un ataque de abrevadero que implica comprometer un sitio leg\u00edtimo relacionado con el suministro de gas en Rusia para distribuir un gusano llamado CMoon que puede recolectar datos confidenciales y de pago, tomar capturas de pantalla, descargar malware adicional y lanzar ataques distribuidos de denegaci\u00f3n de servicio (DDoS) contra objetivos de inter\u00e9s.<\/p>\n<p>El malware tambi\u00e9n recopila archivos y datos de varios navegadores web, billeteras de criptomonedas, aplicaciones de mensajer\u00eda instant\u00e1nea, clientes SSH, software FTP, aplicaciones de grabaci\u00f3n y transmisi\u00f3n de video, autenticadores, herramientas de escritorio remoto y VPN. <\/p>\n<p>\u201cCMoon es un gusano escrito en .NET, con amplia funcionalidad para el robo de datos y control remoto\u201d, afirma <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.ru\/how-the-cmoon-worm-collects-data\/109988\/\" target=\"_blank\">dicho<\/a>&#8220;Inmediatamente despu\u00e9s de la instalaci\u00f3n, el archivo ejecutable comienza a monitorear las unidades USB conectadas. Esto le permite robar archivos de potencial inter\u00e9s para los atacantes desde medios extra\u00edbles, as\u00ed como copiar un gusano en ellos e infectar otros equipos donde se utilizar\u00e1 la unidad&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/russian-government-hit-by-eastwind.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80212 de agosto de 2024\ue804Ravie LakshmananSeguridad en la nube\/Malware El gobierno ruso y las organizaciones de TI son<\/p>\n","protected":false},"author":1,"featured_media":1314382,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,1497,1247,4661,4664,99,247552,65552,247554,4881,4667,140964,239182,4654,239508,4658,4659,4653,247553,66,246983,4665,246984,1828,50975,9413,246982,239484],"class_list":["post-1314381","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-archivos","tag-ataque","tag-ataques-ciberneticos","tag-como-hackear","tag-con","tag-eastwind","tag-explosivas","tag-grewapacha","tag-implementa","tag-las-noticias-de-los-hackers","tag-lnk","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-plugy","tag-puertas","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-trampas","tag-traseras","tag-utilizando","tag-violacion-de-datos","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1314381","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1314381"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1314381\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1314382"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1314381"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1314381"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1314381"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}