M\u00e1s de una docena de empresas e instituciones p\u00fablicas del complejo militar-industrial en Afganist\u00e1n y Europa han sido objeto de una ola de ataques dirigidos desde enero de 2022 para robar datos confidenciales haciendo uso simult\u00e1neamente de seis puertas traseras diferentes.<\/p>\n
La empresa rusa de ciberseguridad Kaspersky atribuido<\/a> los ataques “con un alto grado de confianza” a un actor de amenazas vinculado a China rastreado por punto de prueba<\/a> como TA428<\/a>citando superposiciones en t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP). <\/p>\n TA428, tambi\u00e9n rastreado bajo los nombres Bronze Dudley, Temp.Hex y Vicious Panda, tiene un historial de entidades en huelga en Ucrania, Rusia, Bielorrusia y Mongolia. Se cree que comparte conexiones con otro grupo de hackers llamado Mustang Panda (tambi\u00e9n conocido como Bronze President).<\/p>\n Los objetivos de la \u00faltima campa\u00f1a de espionaje cibern\u00e9tico incluyeron plantas industriales, oficinas de dise\u00f1o e institutos de investigaci\u00f3n, agencias gubernamentales, ministerios y departamentos en varios pa\u00edses de Europa del Este y Afganist\u00e1n.<\/p>\n Las cadenas de ataque implican penetrar en las redes de TI de la empresa utilizando correos electr\u00f3nicos de phishing cuidadosamente elaborados, incluidos algunos que hacen referencia a informaci\u00f3n no p\u00fablica perteneciente a las organizaciones, para enga\u00f1ar a los destinatarios para que abran documentos falsos de Microsoft Word.<\/p>\n Estos archivos se\u00f1uelo vienen con exploits para una falla de corrupci\u00f3n de memoria de 2017 en el componente Editor de ecuaciones (CVE-2017-11882<\/a>) que podr\u00eda conducir a la ejecuci\u00f3n de c\u00f3digo arbitrario en los sistemas afectados, lo que en \u00faltima instancia conducir\u00eda al despliegue de una puerta trasera llamada PortDoor.<\/p>\n PortDoor se emple\u00f3 notablemente en ataques de spear-phishing montados por piratas inform\u00e1ticos patrocinados por el estado chino en abril de 2021 para piratear los sistemas de un contratista de defensa que dise\u00f1a submarinos para la Armada rusa.<\/p>\n Es probable que el uso de seis implantes diferentes sea un intento por parte de los actores de amenazas de establecer canales redundantes para controlar los hosts infectados en caso de que uno de ellos sea detectado y eliminado de las redes.<\/p>\n Las intrusiones culminan con el atacante secuestrando el controlador de dominio y obteniendo el control completo de todas las estaciones de trabajo y servidores de la organizaci\u00f3n, aprovechando el acceso privilegiado para exfiltrar archivos de inter\u00e9s en forma de archivos ZIP comprimidos a un servidor remoto ubicado en China.<\/p>\n Otras puertas traseras utilizadas en los ataques incluyen nccTrojan<\/a>, Cotx, DNSep, Logtu<\/a>, y un malware previamente no documentado denominado CotSam, llamado as\u00ed debido a sus similitudes con Cotx. Cada uno proporciona una amplia funcionalidad para controlar los sistemas y recopilar datos confidenciales.<\/p>\n Tambi\u00e9n se incorpora a los ataques Ladon, un marco de pirater\u00eda para el movimiento lateral que tambi\u00e9n permite al adversario buscar dispositivos en la red y explotar las vulnerabilidades de seguridad en ellos para ejecutar c\u00f3digo malicioso.<\/p>\n “El phishing selectivo sigue siendo una de las amenazas m\u00e1s importantes para las empresas industriales y las instituciones p\u00fablicas”, Kaspersky dijo<\/a>. “Los atacantes utilizaron principalmente malware de puerta trasera conocido, as\u00ed como t\u00e9cnicas est\u00e1ndar para el movimiento lateral y la evasi\u00f3n de la soluci\u00f3n antivirus”.<\/p>\n “Al mismo tiempo, pudieron penetrar en docenas de empresas e incluso tomar el control de toda la infraestructura de TI y las soluciones de seguridad de TI de algunas de las organizaciones atacadas”.<\/p>\n Los hallazgos llegan poco m\u00e1s de dos meses despu\u00e9s de que se observara a los actores de Twisted Panda apuntando a institutos de investigaci\u00f3n en Rusia y Bielorrusia para dejar caer una puerta trasera b\u00e1sica llamada Spinner.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/Un-nuevo-estudio-encuentra-que-la-mayoria-de-los-proveedores.png\")
<\/a><\/div>\n![\"piratas](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660037590_664_Los-piratas-informaticos-chinos-apuntaron-a-docenas-de-empresas-industriales.jpg\" "\\"piratas")
<\/div>\n![\"piratas](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660037590_195_Los-piratas-informaticos-chinos-apuntaron-a-docenas-de-empresas-industriales.jpg\" "\\"piratas")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656664565_47_Amazon-parchea-silenciosamente-la-vulnerabilidad-de-gravedad-alta-en-la.jpg\")
<\/a><\/div>\n