Cisco ha confirmado que un actor de amenaza china conocido como Salt Typhoon obtuvo acceso al abusar de una falla de seguridad conocida rastreada como CVE-2018-0171<\/a>y obteniendo credenciales leg\u00edtimas de inicio de sesi\u00f3n de v\u00edctimas como parte de una campa\u00f1a espec\u00edfica dirigida a las principales compa\u00f1\u00edas de telecomunicaciones estadounidenses.<\/p>\n “El actor de amenaza demostr\u00f3 su capacidad de persistir en entornos objetivo en equipos de m\u00faltiples proveedores durante per\u00edodos prolongados, manteniendo el acceso en un caso durante m\u00e1s de tres a\u00f1os”, Cisco Talos dicho<\/a>describiendo a los piratas inform\u00e1ticos como altamente sofisticados y bien financiados.<\/p>\n “La larga l\u00ednea de tiempo de esta campa\u00f1a sugiere un alto grado de coordinaci\u00f3n, planificaci\u00f3n y paciencia: sellos distintivos de amenaza persistente avanzada (APT) y actores patrocinados por el estado”.<\/p>\n El comandante de equipos de redes de redes dijo que no encontr\u00f3 evidencia de que otros errores de seguridad conocidos hayan sido armados por el equipo de pirater\u00eda, al contrario de un informe reciente de Future registrado que revel\u00f3 intentos de explotaci\u00f3n que involucraron fallas rastreadas como CVE-2023-20198 y CVE-2023-20273 a Redes de infiltrado.<\/p>\n Un aspecto importante de la campa\u00f1a es el uso de credenciales v\u00e1lidas y robadas para obtener acceso inicial, aunque la manera en que se adquieren se desconoce en esta etapa. El actor de amenaza tambi\u00e9n se ha observado haciendo esfuerzos para obtener credenciales a trav\u00e9s de configuraciones de dispositivos de red y descifrar cuentas locales con tipos de contrase\u00f1as d\u00e9biles.<\/p>\n “Adem\u00e1s, hemos observado el actor de amenaza que captura SNMP, Tacacs y el tr\u00e1fico de radio, incluidas las claves secretas utilizadas entre los dispositivos de red y los servidores Tacacs\/Radius”, se\u00f1al\u00f3 Talos. “La intenci\u00f3n de esta captura de tr\u00e1fico es casi seguramente enumerar detalles de credenciales adicionales para el uso de seguimiento”.<\/p>\n Otro comportamiento notable exhibido por Salt Typhoon implica aprovechar las t\u00e9cnicas de vida-de la tierra (LOTL) en dispositivos de red, abusando de la infraestructura confiable como puntos din\u00e1micos para saltar de un telecomunicaciones a otro.<\/p>\n Se sospecha que estos dispositivos se est\u00e1n utilizando como rel\u00e9s intermedios para alcanzar el objetivo final previsto o como un primer salto para operaciones de exfiltraci\u00f3n de datos salientes, ya que ofrece una forma para que el adversario permanezca sin ser detectado por per\u00edodos prolongados de tiempo.<\/p>\n Adem\u00e1s, Salt Typhoon se ha visto alterando las configuraciones de la red para crear cuentas locales, habilitar el acceso a la concha de los invitados y facilitar el acceso remoto a trav\u00e9s de SSH. Tambi\u00e9n se usa una utilidad a medida llamada JumbledPath que les permite ejecutar una captura de paquetes en un dispositivo Cisco remoto a trav\u00e9s de un salto definido por el actor.<\/p>\n El Binario ELF basado en GO tambi\u00e9n es capaz de eliminar los registros y deshabilitar el registro en un intento de ofuscar trazas de la actividad maliciosa y dificultar el an\u00e1lisis forense. Esto se complementa con pasos peri\u00f3dicos realizados para borrar registros relevantes, incluidos .bash_history, auth.log, LastLog, WTMP y BTMP, cuando corresponda.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Cisco-confirma-que-Salt-Typhoon-exploto-CVE-2018-0171-para-apuntar-a.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n