El actor de amenazas conocido como APT-C-60<\/strong> se ha relacionado con un ciberataque dirigido a una organizaci\u00f3n an\u00f3nima en Jap\u00f3n que utiliz\u00f3 un se\u00f1uelo con el tema de una solicitud de empleo para entregar la puerta trasera SpyGlace.<\/p>\n Esto es seg\u00fan los hallazgos de JPCERT\/CC, que dijo que la intrusi\u00f3n aprovech\u00f3 servicios leg\u00edtimos como Google Drive, Bitbucket y StatCounter. El ataque se llev\u00f3 a cabo alrededor de agosto de 2024.<\/p>\n “En este ataque, se envi\u00f3 un correo electr\u00f3nico que pretend\u00eda ser de un posible empleado al contacto de reclutamiento de la organizaci\u00f3n, infectando el contacto con malware”, dijo la agencia. dicho<\/a>.<\/p>\n APT-C-60 es el apodo asignado a un grupo de ciberespionaje alineado con Corea del Sur que se sabe que apunta a pa\u00edses del este de Asia. En agosto de 2024, se observ\u00f3 que se explotaba una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo en WPS Office para Windows (CVE-2024-7262) para eliminar una puerta trasera personalizada llamada SpyGlace.<\/p>\n La cadena de ataque descubierta por JPCERT\/CC implica el uso de un correo electr\u00f3nico de phishing que contiene un enlace a un archivo alojado en Google Drive, un archivo de unidad de disco duro virtual (VHDX), que, cuando se descarga y se monta, incluye un documento se\u00f1uelo y un Acceso directo de Windows (“Self-Introduction.lnk”).<\/p>\n El archivo LNK es responsable de desencadenar los siguientes pasos en la cadena de infecci\u00f3n, al mismo tiempo que muestra el documento se\u00f1uelo como una distracci\u00f3n.<\/p>\n Esto implica lanzar una carga \u00fatil de descarga\/gotero llamada “SecureBootUEFI.dat” que, a su vez, utiliza StatCounter, una herramienta leg\u00edtima de an\u00e1lisis web, para transmitir una cadena que puede identificar de forma \u00fanica un dispositivo v\u00edctima utilizando el Campo de referencia HTTP<\/a>. El valor de la cadena se deriva del nombre de la computadora, el directorio de inicio y el nombre de usuario y est\u00e1 codificado.<\/p>\n Luego, el descargador accede a Bitbucket utilizando la cadena \u00fanica codificada para recuperar la siguiente etapa, un archivo conocido como “Service.dat”, que descarga dos artefactos m\u00e1s de un repositorio de Bitbucket diferente: “cbmp.txt” y “icon.txt”. \u2013 que se guardan como “cn.dat” y “sp.dat”, respectivamente.<\/p>\n “Service.dat” tambi\u00e9n conserva “cn.dat” en el host comprometido mediante una t\u00e9cnica llamada secuestro de COM<\/a>despu\u00e9s de lo cual ejecuta la puerta trasera SpyGlace (“sp.dat”).<\/p>\n El backdoor, por su parte, establece contacto con un servidor de comando y control (“103.187.26[.]176”) y espera m\u00e1s instrucciones que le permitan robar archivos, cargar complementos adicionales y ejecutar comandos.<\/p>\n Vale la pena se\u00f1alar que las empresas de ciberseguridad Laboratorio Chuangyu 404<\/a> y Tecnolog\u00edas positivas<\/a> han informado de forma independiente sobre campa\u00f1as id\u00e9nticas que distribuyen el malware SpyGlace, adem\u00e1s de destacar evidencia que apunta a APT-C-60 y APT-Q-12<\/a> (tambi\u00e9n conocido como Pseudo Hunter) son subgrupos dentro del grupo DarkHotel.<\/p>\n “Los grupos de la regi\u00f3n de Asia contin\u00faan utilizando t\u00e9cnicas no est\u00e1ndar para enviar su malware a los dispositivos de las v\u00edctimas”, dijo Positive Technologies. “Una de estas t\u00e9cnicas es el uso de discos virtuales en formato VHD\/VHDX para eludir los mecanismos de protecci\u00f3n del sistema operativo”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/APT-C-60-aprovecha-la-vulnerabilidad-de-WPS-Office-para-implementar-la.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n