{"id":1491579,"date":"2024-12-17T20:20:43","date_gmt":"2024-12-17T20:20:43","guid":{"rendered":"https:\/\/teknomers.com\/es\/bitter-apt-apunta-al-sector-de-defensa-turco-con-malware-wmrat-y-miyarat\/"},"modified":"2024-12-17T20:20:48","modified_gmt":"2024-12-17T20:20:48","slug":"bitter-apt-apunta-al-sector-de-defensa-turco-con-malware-wmrat-y-miyarat","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/bitter-apt-apunta-al-sector-de-defensa-turco-con-malware-wmrat-y-miyarat\/","title":{"rendered":"Bitter APT apunta al sector de defensa turco con malware WmRAT y MiyaRAT"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">17 de diciembre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Ciberespionaje\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/Bitter-APT-apunta-al-sector-de-defensa-turco-con-malware.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Un presunto grupo de amenazas de ciberespionaje del sur de Asia conocido como <strong>Amargo<\/strong> Se dirigi\u00f3 a una organizaci\u00f3n del sector de defensa turco en noviembre de 2024 para entregar dos familias de malware C++ rastreadas como WmRAT y MiyaRAT.<\/p>\n<p>&#8220;La cadena de ataque utiliz\u00f3 flujos de datos alternativos en un archivo RAR para entregar un archivo de acceso directo (LNK) que creaba una tarea programada en la m\u00e1quina objetivo para extraer m\u00e1s cargas \u00fatiles&#8221;, dijeron los investigadores de Proofpoint Nick Attfield, Konstantin Klinger, Pim Trouerbach y David Galazin. <a rel=\"noopener nofollow\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/hidden-plain-sight-ta397s-new-attack-chain-delivers-espionage-rats\" target=\"_blank\">dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n<p>La empresa de seguridad empresarial est\u00e1 rastreando al actor de amenazas con el nombre TA397. Conocido por estar activo desde al menos 2013, el adversario tambi\u00e9n se conoce como APT-C-08, APT-Q-37, Hazy Tiger y Orange Yali.<\/p>\n<p>Los ataques anteriores realizados por el grupo de hackers se han dirigido a entidades en China, Pakist\u00e1n, India, Arabia Saudita y Bangladesh con malware como BitterRAT. <a rel=\"noopener nofollow\" href=\"https:\/\/mp.weixin.qq.com\/s\/8j_rHA7gdMxY1_X8alj8Zg\" target=\"_blank\">ArtraDownloader<\/a>y ZxxZ, lo que indica un fuerte enfoque asi\u00e1tico.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zerotrust-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1732617974_421_CISA-insta-a-las-agencias-a-aplicar-parches-criticos-quotRedes.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Bitter tambi\u00e9n se ha relacionado con ataques cibern\u00e9ticos que han llevado a la implementaci\u00f3n de cepas de malware para Android como PWNDROID2 y Dracarys, seg\u00fan informes de <a rel=\"noopener nofollow\" href=\"https:\/\/blogs.blackberry.com\/en\/2019\/10\/mobile-malware-and-apt-espionage-prolific-pervasive-and-cross-platform\" target=\"_blank\">Zarzamora<\/a> y Meta en 2019 y 2022, respectivamente.<\/p>\n<p>A principios de marzo, la empresa de ciberseguridad NSFOCUS <a rel=\"noopener nofollow\" href=\"https:\/\/nsfocusglobal.com\/bitter-apt-targets-chinese-government-agency\/\" target=\"_blank\">revel\u00f3<\/a> que una agencia gubernamental china an\u00f3nima fue sometida a un ataque de phishing por parte de Bitter el 1 de febrero de 2024, que entreg\u00f3 un troyano capaz de robar datos y controlar de forma remota.<\/p>\n<p>La \u00faltima cadena de ataque documentada por Proofpoint involucr\u00f3 al actor de amenazas utilizando un se\u00f1uelo sobre proyectos de infraestructura p\u00fablica en Madagascar para atraer a posibles v\u00edctimas a lanzar el archivo adjunto RAR con trampa explosiva.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/1734466842_607_Bitter-APT-apunta-al-sector-de-defensa-turco-con-malware.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/1734466842_607_Bitter-APT-apunta-al-sector-de-defensa-turco-con-malware.png\" alt=\"\" border=\"0\" data-original-height=\"388\" data-original-width=\"1248\"\/><\/a><\/div>\n<p>Dentro del archivo RAR hab\u00eda un archivo se\u00f1uelo sobre una iniciativa p\u00fablica del Banco Mundial en Madagascar para el desarrollo de infraestructura, un archivo de acceso directo de Windows disfrazado de PDF y un flujo de datos alternativo oculto (<a rel=\"noopener nofollow\" href=\"https:\/\/www.malwarebytes.com\/blog\/news\/2015\/07\/introduction-to-alternate-data-streams\" target=\"_blank\">ANUNCIOS<\/a>) archivo que contiene c\u00f3digo PowerShell.<\/p>\n<p>ADS se refiere a un <a rel=\"noopener nofollow\" href=\"https:\/\/learn.microsoft.com\/en-us\/previous-versions\/windows\/it-pro\/windows-server-2003\/cc781134(v=ws.10)\" target=\"_blank\">caracter\u00edstica<\/a> que se introdujo en el sistema de archivos de nueva tecnolog\u00eda (NTFS) utilizado por Windows para adjuntar y acceder a flujos de datos a un archivo. Se puede utilizar para introducir de contrabando datos adicionales en un archivo sin afectar su tama\u00f1o o apariencia, brindando as\u00ed a los actores de amenazas una forma furtiva de ocultar la presencia de una carga \u00fatil maliciosa dentro del registro de un archivo inofensivo.<\/p>\n<p>Si la v\u00edctima inicia el archivo LNK, uno de los flujos de datos contiene c\u00f3digo para recuperar un archivo se\u00f1uelo alojado en el sitio del Banco Mundial, mientras que el segundo ADS incluye un script de PowerShell codificado en Base64 para abrir el documento se\u00f1uelo y configurar una tarea programada responsable. para recuperar las cargas \u00fatiles de la etapa final del dominio jacknwoods[.]com.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/gartner-endpoint-protection-d-v1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/La-campana-HornsHooves-ofrece-RAT-a-traves-de-correos-electronicos.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Ambos <a rel=\"noopener nofollow\" href=\"https:\/\/ti.qianxin.com\/blog\/articles\/the-shadow-lives-analysis-of-recent-attack-activities-of-the-bitter-group-en\/\" target=\"_blank\">WmRAT<\/a> y <a rel=\"noopener nofollow\" href=\"https:\/\/ti.qianxin.com\/blog\/articles\/bitter-group-launches-new-trojan-miyarat-domestic-users-become-primary-targets-en\/\" target=\"_blank\">MiyaRAT<\/a>como detall\u00f3 anteriormente QiAnXin, vienen con capacidades est\u00e1ndar de troyano de acceso remoto (RAT), lo que permite que el malware recopile informaci\u00f3n del host, cargue o descargue archivos, tome capturas de pantalla, obtenga datos de geolocalizaci\u00f3n, enumere archivos y directorios y ejecute comandos arbitrarios a trav\u00e9s de cmd. exe o PowerShell.<\/p>\n<p>Se cree que el uso de MiyaRAT est\u00e1 reservado para objetivos de alto valor debido al hecho de que se ha implementado selectivamente en s\u00f3lo un pu\u00f1ado de campa\u00f1as.<\/p>\n<p>&#8220;Es casi seguro que estas campa\u00f1as son esfuerzos de recopilaci\u00f3n de inteligencia en apoyo de los intereses de un gobierno del sur de Asia&#8221;, dijo Proofpoint. &#8220;Utilizan persistentemente tareas programadas para comunicarse con sus dominios provisionales y desplegar puertas traseras maliciosas en organizaciones objetivo, con el fin de obtener acceso a informaci\u00f3n privilegiada y propiedad intelectual&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/12\/bitter-apt-targets-turkish-defense.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80217 de diciembre de 2024\ue804Ravie LakshmananCiberespionaje\/malware Un presunto grupo de amenazas de ciberespionaje del sur de Asia conocido<\/p>\n","protected":false},"author":1,"featured_media":1491580,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,26597,2490,4661,45820,4664,99,3275,201033,4669,268287,4654,201031,4659,4653,4655,1337,246983,255454,246984,201032,8538,246982,4660,268286],"class_list":["post-1491579","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apt","tag-apunta","tag-ataques-ciberneticos","tag-bitter","tag-como-hackear","tag-con","tag-defensa","tag-las-noticias-de-los-piratas-informaticos","tag-malware","tag-miyarat","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-sector","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-turco","tag-violacion-de-datos","tag-vulnerabilidad-de-software","tag-wmrat"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1491579","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1491579"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1491579\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1491580"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1491579"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1491579"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1491579"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}