{"id":1438627,"date":"2024-11-13T09:50:32","date_gmt":"2024-11-13T09:50:32","guid":{"rendered":"https:\/\/teknomers.com\/es\/uso-de-los-piratas-informaticos-iranies-trabajo-de-ensueno-senuelos-para-implementar-malware-snailresin-en-ataques-aeroespaciales\/"},"modified":"2024-11-13T09:50:37","modified_gmt":"2024-11-13T09:50:37","slug":"uso-de-los-piratas-informaticos-iranies-trabajo-de-ensueno-senuelos-para-implementar-malware-snailresin-en-ataques-aeroespaciales","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/uso-de-los-piratas-informaticos-iranies-trabajo-de-ensueno-senuelos-para-implementar-malware-snailresin-en-ataques-aeroespaciales\/","title":{"rendered":"Uso de los piratas inform\u00e1ticos iran\u00edes &quot;Trabajo de ensue\u00f1o&quot; Se\u00f1uelos para implementar malware SnailResin en ataques aeroespaciales"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">13 de noviembre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Ciberespionaje\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/Uso-de-los-piratas-informaticos-iranies-quotTrabajo-de-ensuenoquot-Senuelos.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Se ha observado que el actor de amenazas iran\u00ed conocido como TA455 sigue el manual de un grupo de hackers norcoreano para orquestar su propia versi\u00f3n de la campa\u00f1a Dream Job dirigida a la industria aeroespacial ofreciendo trabajos falsos desde al menos septiembre de 2023.<\/p>\n<p>&#8220;La campa\u00f1a distribuy\u00f3 el malware SnailResin, que activa la puerta trasera SlugResin&#8221;, dijo la empresa israel\u00ed de ciberseguridad ClearSky. <a rel=\"noopener nofollow\" href=\"https:\/\/www.clearskysec.com\/irdreamjob24\/\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis del martes.<\/p>\n<p>TA455, tambi\u00e9n rastreado por Mandiant, propiedad de Google, como UNC1549 y Yellow Dev 13, se considera un subgrupo dentro de APT35, conocido con los nombres CALANQUE, Charming Kitten, CharmingCypress, ITG18, Mint Sandstorm (anteriormente Phosphorus), Newscaster. , TA453 y Garuda Amarillo.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zerotrust-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1731050243_236_CISA-alerta-sobre-la-explotacion-activa-de-la-vulnerabilidad-critica.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Afiliado al Cuerpo de la Guardia Revolucionaria Isl\u00e1mica de Ir\u00e1n (IRGC), se dice que el grupo comparte superposiciones t\u00e1cticas con grupos denominados Smoke Sandstorm (anteriormente Bohrium) y Crimson Sandstorm (anteriormente Curium).<\/p>\n<p>A principios de febrero, se atribuy\u00f3 al colectivo adversario estar detr\u00e1s de una serie de campa\u00f1as muy espec\u00edficas dirigidas a las industrias aeroespacial, de aviaci\u00f3n y de defensa en el Medio Oriente, incluidos Israel, los Emiratos \u00c1rabes Unidos, Turqu\u00eda, India y Albania.<\/p>\n<p>Los ataques implican el uso de t\u00e1cticas de ingenier\u00eda social que emplean se\u00f1uelos relacionados con el trabajo para generar dos puertas traseras denominadas MINIBIKE y MINIBUS. Empresa de seguridad empresarial Proofpoint <a rel=\"noopener nofollow\" href=\"https:\/\/infosec.exchange\/@threatinsight\/112038219545602524\" target=\"_blank\">dicho<\/a> Tambi\u00e9n ha observado que &#8220;TA455 utiliza empresas fachada para interactuar profesionalmente con objetivos de inter\u00e9s a trav\u00e9s de una p\u00e1gina Cont\u00e1ctenos o una solicitud de ventas&#8221;.<\/p>\n<p>Dicho esto, esta no es la primera vez que el actor de amenazas aprovecha se\u00f1uelos con temas laborales en sus campa\u00f1as de ataque. En su informe &#8220;Amenazas cibern\u00e9ticas 2022: un a\u00f1o en retrospectiva&#8221;, PwC dijo que detect\u00f3 una actividad motivada por espionaje realizada por TA455, en la que los atacantes se hicieron pasar por reclutadores de empresas reales o ficticias en varias plataformas de redes sociales.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1731491431_90_Uso-de-los-piratas-informaticos-iranies-quotTrabajo-de-ensuenoquot-Senuelos.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1731491431_90_Uso-de-los-piratas-informaticos-iranies-quotTrabajo-de-ensuenoquot-Senuelos.png\" alt=\"\" border=\"0\" data-original-height=\"720\" data-original-width=\"944\"\/><\/a><\/div>\n<p>&#8220;Yellow Dev 13 utiliz\u00f3 una variedad de fotograf\u00edas generadas por inteligencia artificial (IA) para sus personajes y se hizo pasar por al menos un individuo real para sus operaciones&#8221;, dijo la compa\u00f1\u00eda. <a rel=\"noopener nofollow\" href=\"https:\/\/www.pwc.at\/de\/dienstleistungen\/Cyber\/2022-year-in-retrospect-report.pdf\" target=\"_blank\">anotado<\/a>.<\/p>\n<p>ClearSky dijo que identific\u00f3 varias similitudes entre las dos campa\u00f1as Dream Job realizadas por Lazarus Group y TA455, incluido el uso de se\u00f1uelos de oportunidades laborales y carga lateral de DLL para implementar malware.<\/p>\n<p>Esto ha planteado la posibilidad de que este \u00faltimo est\u00e9 copiando deliberadamente el arte del grupo de hackers norcoreano para confundir los esfuerzos de atribuci\u00f3n, o que exista alg\u00fan tipo de intercambio de herramientas.<\/p>\n<p>Las cadenas de ataque utilizan sitios web de contrataci\u00f3n falsos (&#8220;careers2find[.]com&#8221;) y perfiles de LinkedIn para distribuir un archivo ZIP que, entre otros archivos, contiene un ejecutable (&#8220;SignedConnection.exe&#8221;) y un archivo DLL malicioso (&#8220;secur32.dll&#8221;) que se descarga cuando se ejecuta el archivo EXE.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-nov\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1730452711_528_Microsoft-retrasa-la-retirada-del-mercado-de-Windows-Copilot-por.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Seg\u00fan Microsoft, secur32.dll es un cargador de troyanos llamado <a rel=\"noopener nofollow\" href=\"https:\/\/www.microsoft.com\/en-us\/wdsi\/threats\/threat-search?query=Trojan:Win64\/SnailResin\" target=\"_blank\">CaracolResina<\/a> que es responsable de cargar <a rel=\"noopener nofollow\" href=\"https:\/\/www.microsoft.com\/en-us\/wdsi\/threats\/threat-search?query=Backdoor:Win64\/SlugResin\" target=\"_blank\">BabosaResina<\/a>una versi\u00f3n actualizada del <a rel=\"noopener nofollow\" href=\"https:\/\/www.microsoft.com\/en-us\/wdsi\/threats\/threat-search?query=Trojan:Win32\/BassBreaker\" target=\"_blank\">rompebajos<\/a> puerta trasera que otorga acceso remoto a una m\u00e1quina comprometida, lo que permite efectivamente a los actores de amenazas implementar malware adicional, robar credenciales, escalar privilegios y moverse lateralmente a otros dispositivos en la red.<\/p>\n<p>Los ataques tambi\u00e9n se caracterizan por el uso de GitHub como <a rel=\"noopener nofollow\" href=\"https:\/\/attack.mitre.org\/techniques\/T1102\/001\/\" target=\"_blank\">solucionador de ca\u00edda muerta<\/a> codificando el servidor de comando y control real dentro de un repositorio, lo que permite al adversario ocultar sus operaciones maliciosas y mezclarse con el tr\u00e1fico leg\u00edtimo.<\/p>\n<p>&#8220;TA455 utiliza un proceso de infecci\u00f3n de m\u00faltiples etapas cuidadosamente dise\u00f1ado para aumentar sus posibilidades de \u00e9xito y minimizar la detecci\u00f3n&#8221;, dijo ClearSky.<\/p>\n<p>&#8220;Los correos electr\u00f3nicos iniciales de phishing probablemente contengan archivos adjuntos maliciosos disfrazados de documentos relacionados con el trabajo, que luego se ocultan dentro de archivos ZIP que contienen una combinaci\u00f3n de archivos leg\u00edtimos y maliciosos. Este enfoque en capas tiene como objetivo eludir los an\u00e1lisis de seguridad y enga\u00f1ar a las v\u00edctimas para que ejecuten el malware. &#8220;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/11\/iranian-hackers-use-dream-job-lures-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80213 de noviembre de 2024\ue804Ravie LakshmananCiberespionaje\/malware Se ha observado que el actor de amenazas iran\u00ed conocido como TA455<\/p>\n","protected":false},"author":1,"featured_media":1438628,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,15676,2346,4661,4664,63857,32935,6214,10364,201033,36,4669,4654,201031,4659,4653,4655,18,6213,53582,246983,255454,246984,44886,262780,201032,1172,246982,4660],"class_list":["post-1438627","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-aeroespaciales","tag-ataques","tag-ataques-ciberneticos","tag-como-hackear","tag-ensuenoquot","tag-implementar","tag-informaticos","tag-iranies","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-piratas","tag-quottrabajo","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-senuelos","tag-snailresin","tag-software-malicioso-ransomware","tag-uso","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1438627","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1438627"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1438627\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1438628"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1438627"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1438627"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1438627"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}