{"id":1341784,"date":"2024-08-31T18:24:13","date_gmt":"2024-08-31T18:24:13","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-norcoreanos-utilizan-rootkit-fudmodule-a-traves-de-exploit-de-dia-cero-en-chrome\/"},"modified":"2024-08-31T18:24:19","modified_gmt":"2024-08-31T18:24:19","slug":"hackers-norcoreanos-utilizan-rootkit-fudmodule-a-traves-de-exploit-de-dia-cero-en-chrome","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-norcoreanos-utilizan-rootkit-fudmodule-a-traves-de-exploit-de-dia-cero-en-chrome\/","title":{"rendered":"Hackers norcoreanos utilizan rootkit FudModule a trav\u00e9s de exploit de d\u00eda cero en Chrome"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">31 de agosto de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Inteligencia sobre amenazas y rootkits<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Hackers-norcoreanos-utilizan-rootkit-FudModule-a-traves-de-exploit-de.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Una falla de seguridad recientemente parcheada en Google Chrome y otros navegadores web Chromium fue explotada como un d\u00eda cero por actores norcoreanos en una campa\u00f1a dise\u00f1ada para distribuir el rootkit FudModule.<\/p>\n<p>Este desarrollo es un indicio de los esfuerzos persistentes realizados por el adversario del estado-naci\u00f3n, que hab\u00eda adquirido el h\u00e1bito de incorporar numerosos exploits de d\u00eda cero para Windows a su arsenal en los \u00faltimos meses.<\/p>\n<p>Microsoft, que detect\u00f3 la actividad el 19 de agosto de 2024, la atribuy\u00f3 a un actor de amenazas que rastrea como Citrine Sleet (anteriormente DEV-0139 y DEV-1222), que tambi\u00e9n se conoce como AppleJeus, Labyrinth Chollima, Nickel Academy y UNC4736. Se considera que es un subgrupo dentro del Grupo Lazarus (tambi\u00e9n conocido como Diamond Sleet y Hidden Cobra).<\/p>\n<p>Vale la pena mencionar que el uso del malware AppleJeus tambi\u00e9n se ha detectado anteriormente. <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/the-bluenoroff-cryptocurrency-hunt-is-still-on\/105488\/\" target=\"_blank\">atribuido<\/a> por Kaspersky a otro subgrupo de Lazarus llamado BlueNoroff (tambi\u00e9n conocido como APT38, Nickel Gladstone y Stardust Chollima), lo que indica que estos actores de amenazas comparten infraestructura y conjuntos de herramientas.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/inside-b-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/CISA-advierte-sobre-piratas-informaticos-que-explotan-la-funcion-Smart.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Citrine Sleet tiene su base en Corea del Norte y se dirige principalmente a instituciones financieras, en particular organizaciones e individuos que manejan criptomonedas, para obtener ganancias financieras&#8221;, dijo el equipo de Inteligencia de Amenazas de Microsoft. <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2024\/08\/30\/north-korean-threat-actor-citrine-sleet-exploiting-chromium-zero-day\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;Como parte de sus t\u00e1cticas de ingenier\u00eda social, Citrine Sleet ha llevado a cabo un reconocimiento exhaustivo de la industria de las criptomonedas y de las personas asociadas a ella&#8221;.<\/p>\n<p>Las cadenas de ataque <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/news-events\/cybersecurity-advisories\/aa21-048a\" target=\"_blank\">Por lo general implican<\/a> crear sitios web falsos que se hacen pasar por plataformas leg\u00edtimas de comercio de criptomonedas y que buscan enga\u00f1ar a los usuarios para que instalen billeteras de criptomonedas armadas o aplicaciones de comercio que facilitan el robo de activos digitales.<\/p>\n<p>El ataque de d\u00eda cero observado por Citrine Sleet implic\u00f3 la explotaci\u00f3n de CVE-2024-7971, una vulnerabilidad de confusi\u00f3n de tipos de alta gravedad en el motor V8 JavaScript y WebAssembly que podr\u00eda permitir a los actores de amenazas obtener ejecuci\u00f3n remota de c\u00f3digo (RCE) en el proceso de renderizado de Chromium en un entorno aislado. Google lo parch\u00f3 como parte de las actualizaciones publicadas la semana pasada.<\/p>\n<p>Como ya afirm\u00f3 The Hacker News, CVE-2024-7971 es el tercer error de confusi\u00f3n de tipos explotado activamente en V8 que Google resolvi\u00f3 este a\u00f1o despu\u00e9s de CVE-2024-4947 y CVE-2024-5274.<\/p>\n<p>Actualmente no est\u00e1 claro cu\u00e1n generalizados fueron estos ataques ni qui\u00e9nes fueron los objetivos, pero se dice que las v\u00edctimas fueron dirigidas a un sitio web malicioso llamado voyagorclub.[.]espacio probablemente a trav\u00e9s de t\u00e9cnicas de ingenier\u00eda social, lo que desencadena un exploit para CVE-2024-7971.<\/p>\n<p>El exploit RCE, por su parte, allana el camino para la recuperaci\u00f3n del c\u00f3digo shell que contiene un exploit de escape de sandbox de Windows (CVE-2024-38106) y el rootkit FudModule, que se utiliza para establecer acceso de administrador a kernel en sistemas basados \u200b\u200ben Windows para permitir funciones primitivas de lectura\/escritura y realizar [direct kernel object manipulation].&#8221;<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-cis-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Hackers-norcoreanos-utilizan-rootkit-FudModule-a-traves-de-exploit-de.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>CVE-2024-38106, un error de escalada de privilegios del kernel de Windows, es una de las seis fallas de seguridad explotadas activamente que Microsoft solucion\u00f3 como parte de su actualizaci\u00f3n del martes de parches de agosto de 2024. Dicho esto, se ha descubierto que la explotaci\u00f3n de la falla vinculada a Citrine Sleet ocurri\u00f3 despu\u00e9s de que se lanzara la soluci\u00f3n.<\/p>\n<p>&#8220;Esto puede sugerir una &#8216;colisi\u00f3n de errores&#8217;, donde la misma vulnerabilidad es descubierta independientemente por actores de amenazas diferentes, o el conocimiento de la vulnerabilidad fue compartido por un investigador de vulnerabilidades a m\u00faltiples actores&#8221;, dijo Microsoft.<\/p>\n<p>CVE-2024-7971 es tambi\u00e9n la tercera vulnerabilidad que los actores de amenazas norcoreanos han aprovechado este a\u00f1o para lanzar el rootkit FudModule, despu\u00e9s de CVE-2024-21338 y CVE-2024-38193, ambas son fallas de escalada de privilegios en los controladores integrados de Windows y fueron corregidas por Microsoft en febrero y agosto.<\/p>\n<p>&#8220;La cadena de explotaci\u00f3n CVE-2024-7971 se basa en m\u00faltiples componentes para comprometer un objetivo, y esta cadena de ataque falla si alguno de estos componentes est\u00e1 bloqueado, incluido CVE-2024-38106&#8221;, afirm\u00f3 la compa\u00f1\u00eda.<\/p>\n<p>&#8220;Los exploits de d\u00eda cero requieren no solo mantener los sistemas actualizados, sino tambi\u00e9n soluciones de seguridad que brinden visibilidad unificada en toda la cadena de ciberataque para detectar y bloquear las herramientas de los atacantes posteriores al compromiso y la actividad maliciosa posterior a la explotaci\u00f3n&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/north-korean-hackers-deploy-fudmodule.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80231 de agosto de 2024\ue804Ravie LakshmananInteligencia sobre amenazas y rootkits Una falla de seguridad recientemente parcheada en Google<\/p>\n","protected":false},"author":1,"featured_media":1341785,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,2127,35379,4664,1478,23323,251040,6369,4667,239182,35239,4654,239508,4658,4659,4653,30407,246983,4665,246984,116,10365,246982,239484],"class_list":["post-1341784","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-cero","tag-chrome","tag-como-hackear","tag-dia","tag-exploit","tag-fudmodule","tag-hackers","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-norcoreanos","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-rootkit","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-traves","tag-utilizan","tag-violacion-de-datos","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1341784","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1341784"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1341784\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1341785"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1341784"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1341784"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1341784"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}