{"id":233040,"date":"2022-06-28T11:35:06","date_gmt":"2022-06-28T11:35:06","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-de-apt-apuntan-a-los-sistemas-de-control-industrial-con-shadowpad-backdoor\/"},"modified":"2022-06-28T11:35:07","modified_gmt":"2022-06-28T11:35:07","slug":"los-piratas-informaticos-de-apt-apuntan-a-los-sistemas-de-control-industrial-con-shadowpad-backdoor","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-de-apt-apuntan-a-los-sistemas-de-control-industrial-con-shadowpad-backdoor\/","title":{"rendered":"Los piratas inform\u00e1ticos de APT apuntan a los sistemas de control industrial con ShadowPad Backdoor"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Las entidades ubicadas en Afganist\u00e1n, Malasia y Pakist\u00e1n est\u00e1n en el punto de mira de una campa\u00f1a de ataque que tiene como objetivo los servidores Microsoft Exchange sin parches como un vector de acceso inicial para implementar el malware ShadowPad.<\/p>\n<p>La firma rusa de ciberseguridad Kaspersky, que detect\u00f3 por primera vez la actividad a mediados de octubre de 2021, <a rel=\"nofollow noopener\" href=\"https:\/\/ics-cert.kaspersky.com\/publications\/reports\/2022\/06\/27\/attacks-on-industrial-control-systems-using-shadowpad\/\" target=\"_blank\">atribuido<\/a> a un actor de amenazas de habla china previamente desconocido.  Los objetivos incluyen organizaciones en los sectores de telecomunicaciones, manufactura y transporte.<\/p>\n<p>&#8220;Durante los ataques iniciales, el grupo explot\u00f3 una vulnerabilidad de MS Exchange para implementar el malware ShadowPad y se infiltr\u00f3 <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Building_automation\" target=\"_blank\">sistemas de automatizaci\u00f3n de edificios<\/a> de una de las v\u00edctimas\u201d, dijo la compa\u00f1\u00eda. \u201cAl tomar el control de esos sistemas, el atacante puede llegar a otros sistemas a\u00fan m\u00e1s sensibles de la organizaci\u00f3n atacada\u201d.<\/p>\n<p>ShadowPad, que surgi\u00f3 en 2015 como el sucesor de PlugX, es una plataforma modular de malware de venta privada que ha sido utilizada por muchos actores de espionaje chinos a lo largo de los a\u00f1os. <\/p>\n<p>Si bien su dise\u00f1o permite a los usuarios implementar de forma remota complementos adicionales que pueden ampliar su funcionalidad m\u00e1s all\u00e1 de la recopilaci\u00f3n de datos encubierta, lo que hace que ShadowPad sea peligroso es la t\u00e9cnica antiforense y antian\u00e1lisis incorporada en el malware.<\/p>\n<p>&#8220;Durante los ataques del actor observado, la puerta trasera ShadowPad se descarg\u00f3 en las computadoras atacadas bajo la apariencia de software leg\u00edtimo&#8221;, dijo Kaspersky.  &#8220;En muchos casos, el grupo atacante explot\u00f3 una vulnerabilidad conocida en MS Exchange e ingres\u00f3 los comandos manualmente, lo que indica la naturaleza altamente espec\u00edfica de sus campa\u00f1as&#8221;.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La seguridad cibern\u00e9tica\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>La evidencia sugiere que las intrusiones organizadas por el adversario comenzaron en marzo de 2021, justo cuando las vulnerabilidades de ProxyLogon en los servidores de Exchange se hicieron de conocimiento p\u00fablico.  Se dice que algunos de los objetivos se violaron al explotar CVE-2021-26855, una vulnerabilidad de falsificaci\u00f3n de solicitud del lado del servidor (SSRF) en el servidor de correo.<\/p>\n<p>Adem\u00e1s de implementar ShadowPad como &#8220;mscoree.dll&#8221;, un componente aut\u00e9ntico de Microsoft .NET Framework, los ataques tambi\u00e9n involucraron el uso de Cobalt Strike, una variante de PlugX llamada THOR y shells web para acceso remoto.<\/p>\n<p>Aunque se desconocen los objetivos finales de la campa\u00f1a, se cree que los atacantes est\u00e1n interesados \u200b\u200ben recopilar informaci\u00f3n de inteligencia a largo plazo.<\/p>\n<p>&#8220;Los sistemas de automatizaci\u00f3n de edificios son objetivos raros para los actores de amenazas avanzados&#8221;, dijo el investigador de Kaspersky ICS CERT, Kirill Kruglov.  &#8220;Sin embargo, esos sistemas pueden ser una fuente valiosa de informaci\u00f3n altamente confidencial y pueden proporcionar a los atacantes una puerta trasera a otras \u00e1reas de infraestructura m\u00e1s seguras&#8221;.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/apt-hackers-targeting-industrial.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Las entidades ubicadas en Afganist\u00e1n, Malasia y Pakist\u00e1n est\u00e1n en el punto de mira de una campa\u00f1a de<\/p>\n","protected":false},"author":1,"featured_media":233041,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,26597,7848,4661,32555,4664,99,2343,4662,1747,6214,4668,4667,36,4654,4658,4659,4653,4655,6213,4663,4666,4665,83719,5527,4660],"class_list":["post-233040","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apt","tag-apuntan","tag-ataques-ciberneticos","tag-backdoor","tag-como-hackear","tag-con","tag-control","tag-filtracion-de-datos","tag-industrial","tag-informaticos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-piratas","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-shadowpad","tag-sistemas","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/233040","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=233040"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/233040\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/233041"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=233040"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=233040"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=233040"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}