{"id":1387468,"date":"2024-10-03T23:03:41","date_gmt":"2024-10-03T23:03:41","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-norcoreanos-utilizan-la-nueva-puerta-trasera-veilshell-en-ataques-ciberneticos-sigilosos\/"},"modified":"2024-10-03T23:03:46","modified_gmt":"2024-10-03T23:03:46","slug":"hackers-norcoreanos-utilizan-la-nueva-puerta-trasera-veilshell-en-ataques-ciberneticos-sigilosos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-norcoreanos-utilizan-la-nueva-puerta-trasera-veilshell-en-ataques-ciberneticos-sigilosos\/","title":{"rendered":"Hackers norcoreanos utilizan la nueva puerta trasera VeilShell en ataques cibern\u00e9ticos sigilosos"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">03 de octubre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Ciberespionaje\/Inteligencia sobre amenazas<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Hackers-norcoreanos-utilizan-la-nueva-puerta-trasera-VeilShell-en-ataques.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Se ha observado que los actores de amenazas con v\u00ednculos con Corea del Norte entregan una puerta trasera y un troyano de acceso remoto (RAT) previamente indocumentados llamado VeilShell como parte de una campa\u00f1a dirigida a Camboya y probablemente a otros pa\u00edses del sudeste asi\u00e1tico.<\/p>\n<p>La actividad, denominada <strong>ENVOLVIDO#DUE\u00d1O<\/strong> de Securonix, se cree que es obra de APT37, que tambi\u00e9n se conoce como InkySquid, Reaper, RedEyes, Ricochet Chollima, Ruby Sleet y ScarCruft.<\/p>\n<p>Activo desde al menos 2012, se considera que el colectivo adversario forma parte del Ministerio de Seguridad del Estado (MSS) de Corea del Norte. Al igual que otros grupos alineados con el Estado, los afiliados a Corea del Norte, incluidos el Grupo Lazarus y Kimsuky, var\u00edan en su modus operandi y probablemente tengan objetivos en constante evoluci\u00f3n basados \u200b\u200ben los intereses estatales.<\/p>\n<p>Un malware clave en su caja de herramientas es RokRAT (tambi\u00e9n conocido como Goldbackdoor), aunque el grupo tambi\u00e9n ha desarrollado herramientas personalizadas para facilitar la recopilaci\u00f3n de inteligencia encubierta.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/saas-security-2024-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727895757_55_Aplicaciones-comerciales-falsas-se-dirigen-a-victimas-en-todo-el.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Actualmente no se sabe c\u00f3mo se entrega a los objetivos la carga \u00fatil de la primera etapa, un archivo ZIP que contiene un archivo de acceso directo de Windows (LNK). Sin embargo, se sospecha que probablemente implique el env\u00edo de correos electr\u00f3nicos de phishing.<\/p>\n<p>&#8220;El [VeilShell] El troyano de puerta trasera permite al atacante acceso completo a la m\u00e1quina comprometida&#8221;, dijeron los investigadores Den Iuzvyk y Tim Peck en un informe t\u00e9cnico. <a rel=\"nofollow noopener\" href=\"https:\/\/www.securonix.com\/blog\/shroudedsleep-a-deep-dive-into-north-koreas-ongoing-campaign-against-southeast-asia\/\" target=\"_blank\">informe<\/a> compartido con The Hacker News. &#8220;Algunas caracter\u00edsticas incluyen filtraci\u00f3n de datos, registro y creaci\u00f3n o manipulaci\u00f3n de tareas programadas&#8221;.<\/p>\n<p>El archivo LNK, una vez iniciado, act\u00faa como un cuentagotas, ya que activa la ejecuci\u00f3n del c\u00f3digo PowerShell para decodificar y extraer los componentes de la siguiente etapa integrados en \u00e9l.<\/p>\n<p>Esto incluye un documento se\u00f1uelo inofensivo, un documento de Microsoft Excel o un documento PDF, que se abre autom\u00e1ticamente, distrayendo al usuario mientras se escriben un archivo de configuraci\u00f3n (&#8220;d.exe.config&#8221;) y un archivo DLL malicioso (&#8220;DomainManager.dll&#8221;). el fondo de la carpeta de inicio de Windows.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727996620_549_Hackers-norcoreanos-utilizan-la-nueva-puerta-trasera-VeilShell-en-ataques.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727996620_549_Hackers-norcoreanos-utilizan-la-nueva-puerta-trasera-VeilShell-en-ataques.png\" alt=\"Ataques cibern\u00e9ticos sigilosos\" border=\"0\" data-original-height=\"1805\" data-original-width=\"1859\" title=\"Ataques cibern\u00e9ticos sigilosos\"\/><\/a><\/div>\n<p>Tambi\u00e9n se copia en la misma carpeta un ejecutable leg\u00edtimo llamado &#8220;dfsvc.exe&#8221; que est\u00e1 asociado con la tecnolog\u00eda ClickOnce en Microsoft .NET Framework. El archivo se copia como &#8220;d.exe&#8221;.<\/p>\n<p>Lo que hace que la cadena de ataque se destaque es el uso de una t\u00e9cnica menos conocida llamada inyecci\u00f3n AppDomainManager para ejecutar DomainManager.dll cuando se inicia &#8220;d.exe&#8221; al inicio y el binario lee el archivo &#8220;d.exe.config&#8221; adjunto. ubicado en la misma carpeta de inicio.<\/p>\n<p>Vale la pena se\u00f1alar que este enfoque tambi\u00e9n fue utilizado recientemente por el actor Earth Baxia, alineado con China, lo que indica que poco a poco est\u00e1 ganando terreno entre los actores de amenazas como una alternativa a la carga lateral de DLL.<\/p>\n<p>El archivo DLL, por su parte, se comporta como un simple cargador para recuperar c\u00f3digo JavaScript de un servidor remoto, que, a su vez, llega a un servidor diferente para obtener la puerta trasera VeilShell.<\/p>\n<p>VeilShell es un malware basado en PowerShell que est\u00e1 dise\u00f1ado para contactar a un servidor de comando y control (C2) para esperar m\u00e1s instrucciones que le permitan recopilar informaci\u00f3n sobre archivos, comprimir una carpeta espec\u00edfica en un archivo ZIP y cargarla nuevamente en el servidor C2. , descargue archivos desde una URL espec\u00edfica, cambie el nombre y elimine archivos, y extraiga archivos ZIP.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/huntress-storytime-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727886513_963_CeranaKeeper-vinculada-a-China-apunta-al-sudeste-asiatico-con-filtracion.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;En general, los actores de amenazas fueron bastante pacientes y met\u00f3dicos&#8221;, observaron los investigadores. &#8220;Cada etapa del ataque presenta tiempos de suspensi\u00f3n muy prolongados en un esfuerzo por evitar las detecciones heur\u00edsticas tradicionales. Una vez que se implementa VeilShell, en realidad no se ejecuta hasta el siguiente reinicio del sistema&#8221;.<\/p>\n<p>&#8220;La campa\u00f1a SHROUDED#SLEEP representa una operaci\u00f3n sofisticada y sigilosa dirigida al sudeste asi\u00e1tico que aprovecha m\u00faltiples capas de ejecuci\u00f3n, mecanismos de persistencia y un RAT de puerta trasera vers\u00e1til basado en PowerShell para lograr un control a largo plazo sobre los sistemas comprometidos&#8221;.<\/p>\n<p>El informe de Securonix llega un d\u00eda despu\u00e9s de que Symantec, propiedad de Broadcom, revelara que el actor de amenazas norcoreano rastre\u00f3 c\u00f3mo Andariel atac\u00f3 a tres organizaciones diferentes en los EE. UU. en agosto de 2024 como parte de una campa\u00f1a con motivaci\u00f3n financiera.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/10\/north-korean-hackers-using-new.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80203 de octubre de 2024\ue804Ravie LakshmananCiberespionaje\/Inteligencia sobre amenazas Se ha observado que los actores de amenazas con v\u00ednculos<\/p>\n","protected":false},"author":1,"featured_media":1387469,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2346,4661,6634,4664,6369,201033,35239,4654,201031,4659,4653,4655,212,1732,246983,255454,246984,115215,201032,7157,10365,256646,246982,4660],"class_list":["post-1387468","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-ciberneticos","tag-como-hackear","tag-hackers","tag-las-noticias-de-los-piratas-informaticos","tag-norcoreanos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nueva","tag-puerta","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-sigilosos","tag-software-malicioso-ransomware","tag-trasera","tag-utilizan","tag-veilshell","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1387468","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1387468"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1387468\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1387469"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1387468"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1387468"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1387468"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}