APT41, el actor de amenazas patrocinado por el estado afiliado a China, viol\u00f3 al menos seis redes del gobierno estatal de EE. UU. entre mayo de 2021 y febrero de 2022 al reestructurar sus vectores de ataque para aprovechar las aplicaciones web vulnerables orientadas a Internet.<\/p>\n
Las vulnerabilidades explotadas incluyeron “una vulnerabilidad de d\u00eda cero en la aplicaci\u00f3n USAHERDS (CVE-2021-44207<\/a>), as\u00ed como el ahora infame d\u00eda cero en Log4j (CVE-2021-44228)”, investigadores de Mandiant dijo<\/a> en un informe publicado el martes, calific\u00e1ndolo de “campa\u00f1a deliberada”.<\/p>\n Adem\u00e1s de los compromisos web, los ataques persistentes tambi\u00e9n involucraron el uso de armas para explotar la deserializaci\u00f3n, la inyecci\u00f3n de SQL y las vulnerabilidades de cruce de directorios, se\u00f1al\u00f3 la firma de ciberseguridad y respuesta a incidentes.<\/p>\n La prol\u00edfica amenaza persistente avanzada, tambi\u00e9n conocida por los apodos Bario y Winnti, tiene un audio grabado<\/a> de apuntar a organizaciones en los sectores p\u00fablico y privado para orquestar actividades de espionaje en paralelo con operaciones motivadas financieramente.<\/p>\n A principios de 2020, el grupo se vincul\u00f3 a una campa\u00f1a de intrusi\u00f3n global que aprovech\u00f3 una variedad de exploits que involucraban a Citrix NetScaler\/ADC, enrutadores Cisco y Zoho ManageEngine Desktop Central para atacar a docenas de entidades en 20 pa\u00edses con cargas maliciosas.<\/p>\n La \u00faltima divulgaci\u00f3n contin\u00faa la tendencia de APT41 de cooptar r\u00e1pidamente las vulnerabilidades recientemente reveladas, como Log4Shell, para obtener acceso inicial a las redes objetivo de dos gobiernos estatales de EE. UU. junto con las empresas de seguros y telecomunicaciones a las pocas horas de hacerse p\u00fablico.<\/p>\n Las intrusiones continuaron hasta bien entrado febrero de 2022 cuando el equipo de pirater\u00eda volvi\u00f3 a comprometer a dos v\u00edctimas del gobierno estatal de EE. UU. que fueron infiltradas por primera vez en mayo y junio de 2021, “demostrando su incesante deseo de acceder a las redes del gobierno estatal”, dijeron los investigadores.<\/p>\n Adem\u00e1s, el punto de apoyo establecido despu\u00e9s de la explotaci\u00f3n de Log4Shell dio como resultado la implementaci\u00f3n de una nueva variante de una puerta trasera C++ modular llamada KEYPLUG en sistemas Linux, pero no sin antes realizar un amplio reconocimiento y recolecci\u00f3n de credenciales de los entornos de destino.<\/p>\n Tambi\u00e9n se observ\u00f3 durante los ataques un gotero en memoria llamado DUSTPAN (tambi\u00e9n conocido como sigiloVector<\/a>) que est\u00e1 orquestado para ejecutar la carga \u00fatil de la siguiente etapa, junto con herramientas avanzadas posteriores al compromiso como VIGOTA<\/a>un cargador de malware que es responsable de iniciar el CLAVE BAJA<\/a> implante.<\/p>\n La principal variedad de t\u00e9cnicas, m\u00e9todos de evasi\u00f3n y capacidades utilizadas por APT41 involucr\u00f3 el uso “sustancialmente mayor” de los servicios de Cloudflare para comunicaciones de comando y control (C2) y exfiltraci\u00f3n de datos, dijeron los investigadores.<\/p>\n Aunque Mandiant se\u00f1al\u00f3 que encontr\u00f3 evidencia de que los adversarios extrajeron informaci\u00f3n de identificaci\u00f3n personal que generalmente est\u00e1 en l\u00ednea con una operaci\u00f3n de espionaje, el objetivo final de la campa\u00f1a actualmente no est\u00e1 claro.<\/p>\n Los hallazgos tambi\u00e9n marcan la segunda vez que un grupo de estado-naci\u00f3n chino ha abusado de fallas de seguridad en la omnipresente biblioteca Apache Log4j para penetrar objetivos.<\/p>\n En enero de 2022, Microsoft detall\u00f3 una campa\u00f1a de ataque montada por Hafnium, el actor de amenazas detr\u00e1s de la explotaci\u00f3n generalizada de las fallas de Exchange Server hace un a\u00f1o, que utiliz\u00f3 la vulnerabilidad para “atacar la infraestructura de virtualizaci\u00f3n para ampliar su objetivo t\u00edpico”.<\/p>\n En todo caso, las actividades m\u00e1s recientes son otra se\u00f1al de un adversario en constante adaptaci\u00f3n que es capaz de cambiar sus objetivos y refinar su arsenal de malware para atacar entidades en todo el mundo que son de inter\u00e9s estrat\u00e9gico.<\/p>\n Las operaciones cibern\u00e9ticas de APT41 contra los sectores de la salud, la alta tecnolog\u00eda y las telecomunicaciones a lo largo de los a\u00f1os han llamado la atenci\u00f3n del Departamento de Justicia de los EE. UU., que emiti\u00f3 cargos contra cinco miembros del grupo en 2020, lo que otorg\u00f3 a los piratas inform\u00e1ticos un lugar entre los cibern\u00e9ticos m\u00e1s buscados del FBI. lista.<\/p>\n “APT41 puede adaptar r\u00e1pidamente sus t\u00e9cnicas de acceso inicial al volver a comprometer un entorno a trav\u00e9s de un vector diferente, o al poner en funcionamiento r\u00e1pidamente una nueva vulnerabilidad”, dijeron los investigadores. “El grupo tambi\u00e9n demuestra su voluntad de reorganizar y desplegar capacidades a trav\u00e9s de nuevos vectores de ataque en lugar de conservarlos para uso futuro”.<\/p>\n En un desarrollo relacionado, el Grupo de An\u00e1lisis de Amenazas de Google dijo<\/a> tom\u00f3 medidas para bloquear una campa\u00f1a de phishing organizada por otro grupo respaldado por el estado chino rastreado como APT31<\/a> (tambi\u00e9n conocido como Zirconium) el mes pasado que estaba dirigido a “usuarios de Gmail de alto perfil afiliados al gobierno de EE. UU.”.<\/p>\n <\/p>\n<\/div>\n![\"Copias](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/Los-piratas-informaticos-comienzan-a-armar-la-reflexion-de-la.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1646820838_917_Los-piratas-informaticos-chinos-APT41-irrumpieron-en-al-menos-6.jpeg\")
<\/div>\n![\"Evitar](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1646327406_168_Parches-criticos-emitidos-para-los-productos-Cisco-Expressway-Series-TelePresence.jpeg\")
<\/a><\/div>\n