{"id":1481068,"date":"2024-12-11T00:25:57","date_gmt":"2024-12-11T00:25:57","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-utilizan-los-tuneles-remotos-de-visual-studio-code-como-armas-para-el-ciberespionaje\/"},"modified":"2024-12-11T00:26:02","modified_gmt":"2024-12-11T00:26:02","slug":"los-piratas-informaticos-utilizan-los-tuneles-remotos-de-visual-studio-code-como-armas-para-el-ciberespionaje","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-utilizan-los-tuneles-remotos-de-visual-studio-code-como-armas-para-el-ciberespionaje\/","title":{"rendered":"Los piratas inform\u00e1ticos utilizan los t\u00faneles remotos de Visual Studio Code como armas para el ciberespionaje"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">10 de diciembre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Ciberespionaje \/ Hacking News<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/Los-piratas-informaticos-utilizan-los-tuneles-remotos-de-Visual-Studio.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Un presunto grupo de ciberespionaje del nexo con China ha sido atribuido a ataques dirigidos a grandes proveedores de servicios de TI de empresa a empresa en el sur de Europa como parte de una campa\u00f1a con el nombre en c\u00f3digo <strong>Operaci\u00f3n Ojo Digital<\/strong>.<\/p>\n<p>Las intrusiones tuvieron lugar desde finales de junio hasta mediados de julio de 2024, dijeron las empresas de ciberseguridad SentinelOne SentinelLabs y Tinexta Cyber \u200b\u200ben un informe conjunto compartido con The Hacker News, y agregaron que las actividades fueron detectadas y neutralizadas antes de que pudieran pasar a la fase de exfiltraci\u00f3n de datos.<\/p>\n<p>&#8220;Las intrusiones podr\u00edan haber permitido a los adversarios establecer puntos de apoyo estrat\u00e9gicos y comprometer entidades posteriores&#8221;, afirman los investigadores de seguridad Aleksandar Milenkoski y Luigi Martire. <a rel=\"noopener nofollow\" href=\"https:\/\/www.sentinelone.com\/labs\/operation-digital-eye-chinese-apt-compromises-critical-digital-infrastructure-via-visual-studio-code-tunnels\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;Los actores de amenazas abusaron de Visual Studio Code y la infraestructura de Microsoft Azure para C2 [command-and-control] fines, intentando evadir la detecci\u00f3n haciendo que las actividades maliciosas parezcan leg\u00edtimas&#8221;.<\/p>\n<p>Actualmente no se sabe qu\u00e9 grupo de hackers vinculado a China est\u00e1 detr\u00e1s de los ataques, un aspecto complicado por el amplio intercambio de herramientas e infraestructura entre los actores de amenazas alineados con la naci\u00f3n del este de Asia. <\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zerotrust-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1732617974_421_CISA-insta-a-las-agencias-a-aplicar-parches-criticos-quotRedes.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Un elemento central de Operation Digital Eye es la utilizaci\u00f3n de Microsoft Visual Studio Code como arma <a rel=\"noopener nofollow\" href=\"https:\/\/code.visualstudio.com\/docs\/remote\/tunnels\" target=\"_blank\">T\u00faneles remotos<\/a> para C2, una caracter\u00edstica leg\u00edtima que permite el acceso remoto a puntos finales, otorgando a los atacantes la capacidad de ejecutar comandos arbitrarios y manipular archivos.<\/p>\n<p>Parte de la raz\u00f3n por la que los piratas inform\u00e1ticos respaldados por el gobierno utilizan dicha infraestructura de nube p\u00fablica es para que su actividad se mezcle con el tr\u00e1fico t\u00edpico que ven los defensores de la red. Adem\u00e1s, dichas actividades emplean ejecutables leg\u00edtimos que no est\u00e1n bloqueados por controles de aplicaciones ni reglas de firewall.<\/p>\n<p>Las cadenas de ataque observadas por las empresas implican el uso de <a rel=\"noopener nofollow\" href=\"https:\/\/en.wikipedia.org\/wiki\/SQL_injection\" target=\"_blank\">inyecci\u00f3n SQL<\/a> como vector de acceso inicial para violar aplicaciones conectadas a Internet y servidores de bases de datos. La inyecci\u00f3n de c\u00f3digo se logra mediante una herramienta leg\u00edtima de prueba de penetraci\u00f3n llamada SQLmap que automatiza el proceso de detecci\u00f3n y explotaci\u00f3n de fallas de inyecci\u00f3n SQL.<\/p>\n<p>A un ataque exitoso le sigue la implementaci\u00f3n de un shell web basado en PHP denominado PHPsert que permite a los actores de amenazas mantener un punto de apoyo y establecer un acceso remoto persistente. Los pasos posteriores incluyen reconocimiento, recolecci\u00f3n de credenciales y movimiento lateral a otros sistemas en la red utilizando el Protocolo de escritorio remoto (RDP) y t\u00e9cnicas de paso de hash.<\/p>\n<p>&#8220;Para los ataques pass-the-hash, utilizaron una versi\u00f3n modificada personalizada de Mimikatz&#8221;, dijeron los investigadores. La herramienta &#8220;permite la ejecuci\u00f3n de procesos dentro del contexto de seguridad de un usuario aprovechando un hash de contrase\u00f1a NTLM comprometido, evitando la necesidad de la contrase\u00f1a real del usuario&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/1733876756_644_Los-piratas-informaticos-utilizan-los-tuneles-remotos-de-Visual-Studio.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/1733876756_644_Los-piratas-informaticos-utilizan-los-tuneles-remotos-de-Visual-Studio.png\" alt=\"T\u00faneles remotos de Visual Studio Code\" border=\"0\" data-original-height=\"738\" data-original-width=\"1637\" title=\"T\u00faneles remotos de Visual Studio Code\"\/><\/a><\/div>\n<p>Las superposiciones sustanciales del c\u00f3digo fuente sugieren que la herramienta personalizada se origina en la misma fuente que las observadas exclusivamente en actividades sospechosas de ciberespionaje chino, como la Operaci\u00f3n Soft Cell y la Operaci\u00f3n Amor Contaminado. Estas modificaciones personalizadas de Mimikatz, que tambi\u00e9n incluyen certificados de firma de c\u00f3digo compartido y el uso de mensajes de error personalizados \u00fanicos o t\u00e9cnicas de ofuscaci\u00f3n, se denominaron colectivamente mimCN.<\/p>\n<p>&#8220;La evoluci\u00f3n a largo plazo y el control de versiones de las muestras de mimCN, junto con caracter\u00edsticas notables como instrucciones dejadas para un equipo separado de operadores, sugieren la participaci\u00f3n de un proveedor compartido o intendente digital responsable del mantenimiento activo y el aprovisionamiento de herramientas&#8221;, dijeron los investigadores. se\u00f1al\u00f3.<\/p>\n<p>&#8220;Esta funci\u00f3n dentro del ecosistema APT chino, corroborada por la filtraci\u00f3n de I-Soon, probablemente desempe\u00f1a un papel clave a la hora de facilitar las operaciones de ciberespionaje del nexo con China&#8221;.<\/p>\n<p>Tambi\u00e9n es de destacar la dependencia de SSH y Visual Studio Code Remote Tunnels para la ejecuci\u00f3n remota de comandos, y los atacantes utilizan cuentas de GitHub para <a rel=\"noopener nofollow\" href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/developer\/dev-tunnels\/security\" target=\"_blank\">autenticarse y conectarse al t\u00fanel<\/a> para acceder al punto final comprometido a trav\u00e9s de la versi\u00f3n basada en navegador de Visual Studio Code (&#8220;vscode[.]desarrollador&#8221;).<\/p>\n<p>Dicho esto, no se sabe si los actores de amenazas utilizaron cuentas de GitHub reci\u00e9n registradas o ya comprometidas para autenticarse en los t\u00faneles.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/gartner-endpoint-protection-d-v3\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/INTERPOL-detiene-a-5500-personas-en-campana-mundial-contra-la.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Adem\u00e1s de mimCN, algunos de los otros aspectos que apuntan a China son la presencia de comentarios en chino simplificado en PHPsert, el uso de la infraestructura proporcionada por el proveedor de servicios de alojamiento rumano M247 y el uso de Visual Studio Code como puerta trasera, el \u00faltimo de los cuales tiene Se ha atribuido al actor Mustang Panda.<\/p>\n<p>Adem\u00e1s, la investigaci\u00f3n encontr\u00f3 que los operadores estaban activos principalmente en las redes de las organizaciones objetivo durante el horario laboral t\u00edpico en China, principalmente entre las 9 am y las 9 pm CST.<\/p>\n<p>&#8220;La campa\u00f1a subraya la naturaleza estrat\u00e9gica de esta amenaza, ya que violar organizaciones que proporcionan datos, infraestructura y soluciones de ciberseguridad a otras industrias les da a los atacantes un punto de apoyo en la cadena de suministro digital, permiti\u00e9ndoles extender su alcance a entidades posteriores&#8221;, afirman los investigadores. dicho.<\/p>\n<p>&#8220;El abuso de los t\u00faneles remotos de Visual Studio Code en esta campa\u00f1a ilustra c\u00f3mo los grupos APT chinos a menudo dependen de enfoques pr\u00e1cticos y orientados a soluciones para evadir la detecci\u00f3n. Al aprovechar una infraestructura y una herramienta de desarrollo confiable, los actores de amenazas intentaron disfrazar sus actividades maliciosas como leg\u00edtimas. &#8220;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/12\/hackers-weaponize-visual-studio-code.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80210 de diciembre de 2024\ue804Ravie LakshmananCiberespionaje \/ Hacking News Un presunto grupo de ciberespionaje del nexo con China<\/p>\n","protected":false},"author":1,"featured_media":1481069,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,5094,4661,71863,26199,440,4664,6214,201033,36,4654,201031,4659,4653,4655,18,6213,28582,246983,255454,246984,201032,2459,48801,10365,246982,4395,4660],"class_list":["post-1481068","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-armas","tag-ataques-ciberneticos","tag-ciberespionaje","tag-code","tag-como","tag-como-hackear","tag-informaticos","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-piratas","tag-remotos","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-studio","tag-tuneles","tag-utilizan","tag-violacion-de-datos","tag-visual","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1481068","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1481068"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1481068\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1481069"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1481068"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1481068"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1481068"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}