Las entidades militares ubicadas en Bangladesh contin\u00faan estando en el extremo receptor de los ataques cibern\u00e9ticos sostenidos por una amenaza persistente avanzada rastreada como Bitter.<\/p>\n
“A trav\u00e9s de archivos de documentos maliciosos y etapas intermedias de malware, los actores de amenazas realizan espionaje mediante el despliegue de troyanos de acceso remoto”, firma de ciberseguridad SECUINFRA dijo<\/a> en un nuevo art\u00edculo publicado el 5 de julio.<\/p>\n Los hallazgos de la compa\u00f1\u00eda con sede en Berl\u00edn se basan en un informe anterior de Cisco Talos en mayo, que revel\u00f3 la expansi\u00f3n del grupo para atacar a las organizaciones gubernamentales de Bangladesh con una puerta trasera llamada ZxxZ<\/a>.<\/p>\n Bitter, tambi\u00e9n rastreado bajo los nombres en clave APT-C-08 y T-APT-17, se dice que est\u00e1 activo desde al menos finales de 2013<\/a> y tiene un historial de apuntar a China, Pakist\u00e1n y Arabia Saudita usando diferentes herramientas como BitterRAT y ArtraDownloader.<\/p>\n Se cree que la \u00faltima cadena de ataque detallada por SECUINFRA se llev\u00f3 a cabo a mediados de mayo de 2022 y se origin\u00f3 con un documento de Excel armado que probablemente se distribuy\u00f3 a trav\u00e9s de un correo electr\u00f3nico de phishing que, cuando se abre, aprovecha el exploit del Editor de ecuaciones de Microsoft (CVE-2018-0798<\/a>) para eliminar el binario de la siguiente etapa desde un servidor remoto.<\/p>\n ZxxZ (o MuuyDownloader del Qi-Anxin Threat Intelligence Center), como se llama la carga \u00fatil descargada, se implementa en Visual C++ y funciona como un implante de segunda etapa que permite al adversario implementar malware adicional.<\/p>\n El cambio m\u00e1s notable en el malware es que ha dejado de usar “ZxxZ” como separador que se usa cuando se env\u00eda informaci\u00f3n al servidor de comando y control (C2) en favor de un gui\u00f3n bajo, lo que sugiere que el grupo est\u00e1 realizando modificaciones activamente en su c\u00f3digo fuente para permanecer bajo el radar.<\/p>\n El actor de amenazas tambi\u00e9n utiliza en sus campa\u00f1as una puerta trasera denominada Almond RAT, una RAT basada en .NET que sali\u00f3 a la luz por primera vez<\/a> en mayo de 2022 y ofrece funcionalidad b\u00e1sica de recopilaci\u00f3n de datos y la capacidad de ejecutar comandos arbitrarios. Adem\u00e1s, el implante emplea t\u00e9cnicas de ofuscaci\u00f3n y encriptaci\u00f3n de cadenas para evadir la detecci\u00f3n y dificultar el an\u00e1lisis.<\/p>\n “Los prop\u00f3sitos principales de Almond RAT parecen ser el descubrimiento del sistema de archivos, la exfiltraci\u00f3n de datos y una forma de cargar m\u00e1s herramientas\/establecer la persistencia”, dijeron los investigadores. “El dise\u00f1o de las herramientas parece estar dise\u00f1ado de manera que pueda modificarse y adaptarse r\u00e1pidamente al escenario de ataque actual”.<\/p>\n <\/p>\n<\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1657105065_815_Los-piratas-informaticos-amargos-de-APT-continuan-apuntando-a-las.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656664565_47_Amazon-parchea-silenciosamente-la-vulnerabilidad-de-gravedad-alta-en-la.jpg\")
<\/a><\/div>\n![\"\"](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj4uJYSRB3ioBmNGZAL9I3nBd7ofcauL5Uc1do-GtYZs_gFRfXLtFRlQagD41A5W7zOw70Hj9uxeny-pEcegvDP1kH7BmBguULQ22Zt9I90efgDyJG-Ol7agTxwN7WHS-iVgB09SfCh3EMRQfvd0kpuMnU3X0HZDnhcK3JWqbbyIaLC6R7fOmj__nR9\/s728-e100\/RAT.jpg\")
<\/div>\n