El actor de amenazas conocido como Elefante misterioso<\/strong> Se ha observado que utiliza una versi\u00f3n avanzada de malware llamada Asynshell.<\/p>\n Se dice que la campa\u00f1a de ataque utiliz\u00f3 Hayy<\/a>se\u00f1uelos tem\u00e1ticos para enga\u00f1ar a las v\u00edctimas para que ejecuten una carga \u00fatil maliciosa bajo la apariencia de un archivo de ayuda HTML compilado (CHM) de Microsoft, el equipo Knownsec 404 dicho<\/a> en un an\u00e1lisis publicado hoy.<\/p>\n Mysterious Elephant, tambi\u00e9n conocido como APT-K-47, es un actor de amenazas de origen del sur de Asia que ha estado activo desde al menos 2022, apuntando principalmente a entidades paquistan\u00edes.<\/p>\n Se ha descubierto que las t\u00e1cticas y herramientas del grupo comparten similitudes con las de otros actores de amenazas que operan en las regiones, como SideWinder, Confucius y Bitter.<\/p>\n En octubre de 2023, el grupo fue vinculado a una campa\u00f1a de phishing que lanzaba una puerta trasera llamada ORPCBackdoor como parte de ataques dirigidos contra Pakist\u00e1n y otros pa\u00edses.<\/p>\n Se desconoce el vector de acceso inicial exacto empleado por Mysterious Elephant en la \u00faltima campa\u00f1a, pero probablemente implique el uso de correos electr\u00f3nicos de phishing. El m\u00e9todo conduce a la entrega de un archivo ZIP que contiene dos archivos: un archivo CHM que dice tratar sobre la pol\u00edtica del Hajj en 2024 y un archivo ejecutable oculto.<\/p>\n Cuando se inicia el CHM, se utiliza para mostrar un documento se\u00f1uelo, un archivo PDF leg\u00edtimo<\/a> alojado en el sitio web del Ministerio de Asuntos Religiosos y Armon\u00eda Interreligiosa del gobierno de Pakist\u00e1n, mientras que el binario se ejecuta sigilosamente en segundo plano.<\/p>\n Un malware relativamente sencillo, est\u00e1 dise\u00f1ado para establecer un shell cmd<\/a> con un servidor remoto, y Knownsec 404 identifica superposiciones funcionales con Asyncshell, otra herramienta que el actor de amenazas ha utilizado repetidamente desde la segunda mitad de 2023.<\/p>\n Hasta la fecha se han descubierto hasta cuatro versiones diferentes de Asyncshell, que cuentan con capacidades para ejecutar comandos cmd y PowerShell. Se ha descubierto que las cadenas de ataques iniciales que distribuyen el malware aprovechan la falla de seguridad de WinRAR (CVE-2023-38831, puntuaci\u00f3n CVSS: 7,8) para desencadenar la infecci\u00f3n.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/APT-K-47-utiliza-senuelos-con-tematica-del-Hajj-para-ofrecer-malware.png\")
<\/a><\/center><\/div>\n