{"id":1472502,"date":"2024-12-05T11:24:31","date_gmt":"2024-12-05T11:24:31","guid":{"rendered":"https:\/\/teknomers.com\/es\/investigadores-descubren-un-ciberataque-de-4-meses-a-una-empresa-estadounidense-vinculada-a-piratas-informaticos-chinos\/"},"modified":"2024-12-05T11:24:35","modified_gmt":"2024-12-05T11:24:35","slug":"investigadores-descubren-un-ciberataque-de-4-meses-a-una-empresa-estadounidense-vinculada-a-piratas-informaticos-chinos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/investigadores-descubren-un-ciberataque-de-4-meses-a-una-empresa-estadounidense-vinculada-a-piratas-informaticos-chinos\/","title":{"rendered":"Investigadores descubren un ciberataque de 4 meses a una empresa estadounidense vinculada a piratas inform\u00e1ticos chinos"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>05 de diciembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Inteligencia de amenazas\/Ciberespionaje<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Un presunto actor de amenazas chino atac\u00f3 a una gran organizaci\u00f3n estadounidense a principios de este a\u00f1o como parte de una intrusi\u00f3n que dur\u00f3 cuatro meses.<\/p>\n

Seg\u00fan Symantec, propiedad de Broadcom, la primera evidencia de actividad maliciosa se detect\u00f3 el 11 de abril de 2024 y continu\u00f3 hasta agosto. Sin embargo, la empresa no descarta la posibilidad de que la intrusi\u00f3n se haya producido antes.<\/p>\n

“Los atacantes se movieron lateralmente a trav\u00e9s de la red de la organizaci\u00f3n, comprometiendo varias computadoras”, dijo el equipo Symantec Threat Hunter. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n

“Algunas de las m\u00e1quinas atacadas eran servidores Exchange, lo que sugiere que los atacantes estaban recopilando inteligencia mediante la recopilaci\u00f3n de correos electr\u00f3nicos. Tambi\u00e9n se implementaron herramientas de exfiltraci\u00f3n, lo que sugiere que los datos espec\u00edficos fueron tomados de las organizaciones”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

No se revel\u00f3 el nombre de la organizaci\u00f3n que se vio afectada por la persistente campa\u00f1a de ataque, pero se se\u00f1al\u00f3 que la v\u00edctima tiene una presencia significativa en China.<\/p>\n

Los v\u00ednculos con China como posible culpable se derivan del uso de carga lateral de DLL, que es una t\u00e1ctica preferida entre varios grupos de amenazas chinos, y la presencia de artefactos previamente identificados como empleados en conexi\u00f3n con una operaci\u00f3n patrocinada por el estado con nombre en c\u00f3digo Crimson Palace.<\/p>\n

Otro punto de inter\u00e9s es que la organizaci\u00f3n fue atacada en 2023 por un atacante con v\u00ednculos tentativos con otro equipo de pirater\u00eda con sede en China llamado Daggerfly, que tambi\u00e9n se conoce como Bronze Highland, Evasive Panda y StormBamboo.<\/p>\n

Adem\u00e1s de utilizar la carga lateral de DLL para ejecutar cargas \u00fatiles maliciosas, el ataque implica el uso de herramientas de c\u00f3digo abierto como FileZilla, Impacket y PSCP, al tiempo que emplea programas que viven fuera de la tierra (LotL) como Windows Management Instrumentation (WMI). , PsExec y PowerShell.<\/p>\n

El mecanismo exacto de acceso inicial utilizado para violar la red sigue siendo desconocido en este momento. Dicho esto, el an\u00e1lisis de Symantec encontr\u00f3 que la m\u00e1quina en la que se detectaron los primeros indicadores de compromiso inclu\u00eda un comando que se ejecutaba a trav\u00e9s de WMI desde otro sistema en la red.<\/p>\n

“El hecho de que el comando se originara en otra m\u00e1quina de la red sugiere que los atacantes ya hab\u00edan comprometido al menos otra m\u00e1quina en la red de la organizaci\u00f3n y que la intrusi\u00f3n pudo haber comenzado antes del 11 de abril”, dijo la compa\u00f1\u00eda.<\/p>\n

Algunas de las otras actividades maliciosas que realizaron posteriormente los atacantes abarcaron desde el robo de credenciales y la ejecuci\u00f3n de archivos DLL maliciosos hasta atacar servidores Microsoft Exchange y descargar herramientas como FileZilla, PSCP y WinRAR.<\/p>\n

“Un grupo en el que los atacantes estaban particularmente interesados \u200b\u200bes el de los ‘servidores Exchange’, lo que sugiere que los atacantes intentaban apuntar a los servidores de correo para recopilar y posiblemente exfiltrar datos de correo electr\u00f3nico”, dijo Symantec.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El desarrollo se produce cuando Orange Cyberdefense detall\u00f3 las relaciones p\u00fablicas y privadas dentro del Ecosistema ciberofensivo chino<\/a>al tiempo que destaca el papel desempe\u00f1ado por las universidades para la investigaci\u00f3n de seguridad y los contratistas de hacking para realizar ataques bajo la direcci\u00f3n de entidades estatales. <\/p>\n

“En muchos casos, personas vinculadas al [Ministry of State Security] o [People’s Liberation Army] unidades registran empresas falsas para ocultar la atribuci\u00f3n de sus campa\u00f1as al Estado chino”, dicho<\/a>.<\/p>\n

“Estas empresas falsas, que no se dedican a actividades reales con fines de lucro, pueden ayudar a conseguir la infraestructura digital necesaria para llevar a cabo los ciberataques sin llamar la atenci\u00f3n no deseada. Tambi\u00e9n sirven como fachada para reclutar personal para funciones que apoyen las operaciones de pirater\u00eda”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n