Una campa\u00f1a de espionaje cibern\u00e9tico de meses de duraci\u00f3n realizada por un grupo de estado-naci\u00f3n chino apunt\u00f3 a varias entidades con malware de reconocimiento para obtener informaci\u00f3n sobre sus v\u00edctimas y cumplir sus objetivos estrat\u00e9gicos.<\/p>\n
“Los objetivos de esta campa\u00f1a reciente abarcaron Australia, Malasia y Europa, as\u00ed como entidades que operan en el Mar de China Meridional”, dijo la firma de seguridad empresarial Proofpoint. dijo<\/a> en un publicado en colaboraci\u00f3n con PwC.<\/p>\n Los objetivos abarcan agencias gubernamentales australianas locales y federales, compa\u00f1\u00edas de medios de comunicaci\u00f3n australianas y fabricantes de la industria pesada mundial que realizan el mantenimiento de flotas de turbinas e\u00f3licas en el Mar de China Meridional.<\/p>\n Proofpoint y PwC atribuyeron las intrusiones con confianza moderada a un actor de amenazas rastreado por las dos compa\u00f1\u00edas con los nombres TA423 y Red Ladon respectivamente, que tambi\u00e9n se conoce como APT40 y Leviathan.<\/p>\n APT40 es el nombre designado para un actor de amenazas motivado por el espionaje con sede en China que se sabe que est\u00e1 activo desde 2013 y tiene un patr\u00f3n de atacar entidades en la regi\u00f3n de Asia-Pac\u00edfico, con un enfoque principal en el Mar de China Meridional. En julio de 2021, el gobierno de EE. UU. y sus aliados atado<\/a> el colectivo adversario al Ministerio de Seguridad del Estado de China (MSS).<\/p>\n Los ataques adoptaron la forma de varias campa\u00f1as de phishing entre el 12 de abril y el 15 de junio que emplearon direcciones URL que se hac\u00edan pasar por empresas de medios australianas para ofrecer la ScanBox<\/a> marco de reconocimiento. Los correos electr\u00f3nicos de phishing ven\u00edan con l\u00edneas de asunto como “Baja por enfermedad”, “Investigaci\u00f3n de usuarios” y “Solicitud de cooperaci\u00f3n”.<\/p>\n A diferencia de los pozos de agua o los compromisos web estrat\u00e9gicos en los que un sitio web leg\u00edtimo conocido por ser visitado por los objetivos est\u00e1 infectado con un c\u00f3digo JavaScript malicioso, la actividad de APT40 aprovecha un dominio controlado por el actor que se usa para entregar el malware.<\/p>\n “El actor de amenazas con frecuencia se hac\u00eda pasar por un empleado de la publicaci\u00f3n de medios ficticia ‘Australian Morning News’, proporcionando una URL al dominio malicioso y solicitando objetivos para ver su sitio web o compartir contenido de investigaci\u00f3n que el sitio web publicar\u00eda”, dijeron los investigadores.<\/p>\n ScanBox, utilizado en ataques<\/a> ya en 2014, es un Malware basado en JavaScript<\/a> que permite a los actores de amenazas perfilar a sus v\u00edctimas, as\u00ed como entregar cargas \u00fatiles de la siguiente etapa a los objetivos de inter\u00e9s. Tambi\u00e9n se sabe que se comparte de forma privada entre varios grupos de piratas inform\u00e1ticos con sede en China, como HUI Loader, PlugX y ShadowPad.<\/p>\n Algunos de los actores de amenazas notables que se han observado previamente usando ScanBox incluyen APT10 (tambi\u00e9n conocido como Red Apollo o Stone Panda), APT27 (tambi\u00e9n conocido como Emissary Panda, Lucky Mouse o Red Phoenix) y TA413 (tambi\u00e9n conocido como Lucky Cat).<\/p>\n El malware en el navegador web de la v\u00edctima tambi\u00e9n recupera y ejecuta una serie de complementos que le permiten registrar pulsaciones de teclas, tomar huellas dactilares del navegador, recopilar una lista de complementos del navegador instalados, comunicarse con las m\u00e1quinas infectadas y verificar la presencia de Software Kaspersky Internet Security (KIS).<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n![\"Ataques](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1661918901_564_Los-piratas-informaticos-chinos-utilizaron-ScanBox-Framework-en-los-recientes.jpg\" "\\"Ataques")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n