{"id":33755,"date":"2022-03-14T10:56:57","date_gmt":"2022-03-14T10:56:57","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-investigadores-encuentran-nueva-evidencia-que-vincula-el-malware-kwampirs-con-los-piratas-informaticos-shamoon-apt\/"},"modified":"2022-03-14T10:57:01","modified_gmt":"2022-03-14T10:57:01","slug":"los-investigadores-encuentran-nueva-evidencia-que-vincula-el-malware-kwampirs-con-los-piratas-informaticos-shamoon-apt","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-investigadores-encuentran-nueva-evidencia-que-vincula-el-malware-kwampirs-con-los-piratas-informaticos-shamoon-apt\/","title":{"rendered":"Los investigadores encuentran nueva evidencia que vincula el malware Kwampirs con los piratas inform\u00e1ticos Shamoon APT"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Los nuevos hallazgos publicados la semana pasada muestran el c\u00f3digo fuente y las t\u00e9cnicas superpuestas entre los operadores de Shamoon<\/a> y Kwampires<\/a>indicando que “son el mismo grupo o muy cercanos colaboradores”.<\/p>\n

“La evidencia de la investigaci\u00f3n muestra la identificaci\u00f3n de la coevoluci\u00f3n entre las familias de malware Shamoon y Kwampirs durante la l\u00ednea de tiempo conocida”, Pablo Rinc\u00f3n Crespo de Cylera Labs dijo<\/a>.<\/p>\n

“Si Kwampirs se basa en el Shamoon original, y el c\u00f3digo de campa\u00f1a de Shamoon 2 y 3 se basa en Kwampirs, [\u2026] entonces los autores de Kwampirs ser\u00edan potencialmente los mismos autores de Shamoon, o deben tener una relaci\u00f3n muy fuerte, como se ha visto a lo largo de muchos a\u00f1os\u201d, agreg\u00f3 Rinc\u00f3n Crespo.<\/p>\n

Shamoon, tambi\u00e9n conocido como DistTrack, funciona como un malware que roba informaci\u00f3n que tambi\u00e9n incorpora un componente destructivo que le permite sobrescribir el Master Boot Record (MBR) con datos arbitrarios para que la m\u00e1quina infectada quede inoperable.<\/p>\n

\"Copias<\/a><\/div>\n

El malware, desarrollado por el equipo de pirater\u00eda del mismo nombre tambi\u00e9n rastreado como Magic Hound, Timberworm, COBALT GIPSY, fue documentado por primera vez<\/a> por Symantec, propiedad de Broadcom, en agosto de 2012. Desde entonces, han surgido al menos dos versiones actualizadas de Shamoon, Shamoon 2 en 2016 y Shamoon 3 en 2018.<\/p>\n

En julio de 2021, el gobierno de EE. atribuido<\/a> Shamoon como obra de Actores patrocinados por el estado iran\u00ed<\/a>vincul\u00e1ndolo a las ciberofensivas dirigidas a los sistemas de control industrial.<\/p>\n

Por otro lado, la actividad de ataque que implica la Puerta trasera de Kwampirs<\/a> se ha conectado a un grupo de amenazas conocido como Orangeworm, con Symantec revelando una campa\u00f1a de intrusi\u00f3n dirigida a entidades del sector de la salud en los EE. UU., Europa y Asia.<\/p>\n\n\n\n\n
\"Hackers<\/td>\n<\/tr>\n
“Proceso de construcci\u00f3n de la nueva campa\u00f1a de Kwampirs” explicado por Cylera<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

“Identificado por primera vez en enero de 2015, Orangeworm tambi\u00e9n ha llevado a cabo ataques dirigidos contra organizaciones en industrias relacionadas como parte de un ataque m\u00e1s grande a la cadena de suministro para llegar a sus v\u00edctimas previstas”, Symantec dijo<\/a> en un an\u00e1lisis en abril de 2018.<\/p>\n

El descubrimiento de la conexi\u00f3n por parte de Cylera Labs proviene de artefactos de malware y componentes previamente desapercibidos, uno de los cuales se dice que es una versi\u00f3n intermedia de “trampol\u00edn”. Es un cuentagotas de Shamoon pero sin la funci\u00f3n de limpieza, mientras que simult\u00e1neamente reutiliza el mismo c\u00f3digo de carga que Kwampirs.<\/p>\n

\"Evitar<\/a><\/div>\n

Adem\u00e1s, se han descubierto similitudes a nivel de c\u00f3digo entre Kwampirs y versiones posteriores de Shamoon. Esto incluye la funcionalidad para recuperar metadatos del sistema, obtener la direcci\u00f3n MAC y la informaci\u00f3n de distribuci\u00f3n del teclado de la v\u00edctima, as\u00ed como el uso de la misma. InternetOpenW<\/a> API de Windows para crear solicitudes HTTP al servidor de comando y control (C2).<\/p>\n\n\n\n\n
\"Hackers<\/td>\n<\/tr>\n
“Shamoon 2 New Campaign Building Process” explicado por Cylera<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Tambi\u00e9n se pone en uso un sistema de plantilla com\u00fan para crear el m\u00f3dulo reportero que alberga capacidades para cargar informaci\u00f3n del host y descargar cargas \u00fatiles adicionales para ejecutar desde sus servidores C2, una caracter\u00edstica que faltaba en la primera versi\u00f3n de Shamoon.<\/p>\n

Al conectar los puntos dispares, la investigaci\u00f3n ha llevado a la evaluaci\u00f3n de que Kwampirs probablemente se basa en Shamoon 1 y que Shamoon 2 hered\u00f3 parte de su c\u00f3digo de Kwampirs, lo que implica que los operadores de ambos programas maliciosos son diferentes subgrupos de un paraguas m\u00e1s grande. grupos o que es obra de un solo actor.<\/p>\n

\"Hackers<\/div>\n

Tal afirmaci\u00f3n no carece de precedentes. La semana pasada, Cisco Talos detall\u00f3 los TTP de otro actor iran\u00ed llamado MuddyWater, y se\u00f1al\u00f3 que el actor del estado-naci\u00f3n es un “conglomerado” de m\u00faltiples equipos que operan de forma independiente en lugar de un solo grupo de actores de amenazas.<\/p>\n

“Estas conclusiones, si son correctas, reformular\u00edan a Kwampirs como un ataque a gran escala de varios a\u00f1os contra las cadenas mundiales de suministro de atenci\u00f3n m\u00e9dica realizado por un actor estatal extranjero”, concluyeron los investigadores.<\/p>\n

“Los datos recopilados y los sistemas a los que se accede en estas campa\u00f1as tienen una amplia gama de usos potenciales, incluido el robo de propiedad intelectual, la recopilaci\u00f3n de registros m\u00e9dicos de objetivos como disidentes o l\u00edderes militares, o reconocimiento para ayudar en la planificaci\u00f3n de futuros ataques destructivos”.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Los nuevos hallazgos publicados la semana pasada muestran el c\u00f3digo fuente y las t\u00e9cnicas superpuestas entre los operadores<\/p>\n","protected":false},"author":1,"featured_media":33756,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,26597,4661,4664,99,5252,11918,4662,6214,12583,26595,4668,4667,36,4669,4654,4658,4659,4653,4655,212,6213,4663,4666,4665,26596,10654,4660],"class_list":["post-33755","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apt","tag-ataques-ciberneticos","tag-como-hackear","tag-con","tag-encuentran","tag-evidencia","tag-filtracion-de-datos","tag-informaticos","tag-investigadores","tag-kwampirs","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nueva","tag-piratas","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-shamoon","tag-vincula","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/33755","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=33755"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/33755\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/33756"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=33755"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=33755"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=33755"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}