Las organizaciones gubernamentales y estatales en varios pa\u00edses asi\u00e1ticos han sido blanco de un grupo distinto de piratas inform\u00e1ticos de espionaje como parte de una misi\u00f3n de recopilaci\u00f3n de inteligencia que ha estado en marcha desde principios de 2021.<\/p>\n
“Una caracter\u00edstica notable de estos ataques es que los atacantes aprovecharon una amplia gama de paquetes de software leg\u00edtimos para cargar sus cargas \u00fatiles de malware utilizando una t\u00e9cnica conocida como Carga lateral de DLL<\/a>“, el equipo de Symantec Threat Hunter, parte de Broadcom Software, dijo<\/a> en un informe compartido con The Hacker News.<\/p>\n Se dice que la campa\u00f1a est\u00e1 dirigida exclusivamente a instituciones gubernamentales relacionadas con las finanzas, la industria aeroespacial y la defensa, as\u00ed como a empresas estatales de medios, TI y telecomunicaciones. <\/p>\n La carga lateral de la biblioteca de v\u00ednculos din\u00e1micos (DLL) es un m\u00e9todo de ciberataque popular que aprovecha la forma en que las aplicaciones de Microsoft Windows manejan los archivos DLL. En estas intrusiones, se planta una DLL maliciosa falsificada en Windows Side-by-Side (WinSxS<\/a>) para que el sistema operativo lo cargue en lugar del archivo leg\u00edtimo.<\/p>\n Los ataques implican el uso de versiones antiguas y desactualizadas de soluciones de seguridad, software de gr\u00e1ficos y navegadores web que seguramente carecer\u00e1n de mitigaciones para la carga lateral de DLL, us\u00e1ndolos como un conducto para cargar c\u00f3digo shell arbitrario dise\u00f1ado para ejecutar cargas \u00fatiles adicionales.<\/p>\n Adem\u00e1s, los paquetes de software tambi\u00e9n se duplican como un medio para entregar herramientas para facilitar el robo de credenciales y el movimiento lateral a trav\u00e9s de la red comprometida.<\/p>\n “[The threat actor] aprovech\u00f3 PsExec para ejecutar versiones antiguas de software leg\u00edtimo que luego se usaron para cargar herramientas de malware adicionales, como troyanos de acceso remoto est\u00e1ndar (RATS) a trav\u00e9s de la carga lateral de DLL en otras computadoras en las redes”, se\u00f1alaron los investigadores.<\/p>\n En uno de los ataques contra una organizaci\u00f3n estatal en el sector de la educaci\u00f3n en Asia que dur\u00f3 de abril a julio de 2022, durante el cual el adversario accedi\u00f3 a m\u00e1quinas que alojaban bases de datos y correos electr\u00f3nicos, antes de acceder al controlador de dominio.<\/p>\n La intrusi\u00f3n tambi\u00e9n hizo uso de una versi\u00f3n de 11 a\u00f1os de Bitdefender Crash Handler (“javac.exe”) para lanzar una versi\u00f3n renombrada de Mimikatz (“calc.exe”), un marco de prueba de penetraci\u00f3n Golang de c\u00f3digo abierto llamado LadonGo<\/a>y otras cargas \u00fatiles personalizadas en varios hosts.<\/p>\n Uno de ellos es un ladr\u00f3n de informaci\u00f3n rico en funciones que no hab\u00eda sido documentado previamente y que es capaz de registrar pulsaciones de teclas, capturar capturas de pantalla, conectarse y consultar bases de datos SQL, descargar archivos y robar datos del portapapeles.<\/p>\n Tambi\u00e9n se puso en uso en el ataque una herramienta de escaneo de intranet disponible p\u00fablicamente llamada Fscan para realizar intentos de explotaci\u00f3n aprovechando las vulnerabilidades de ProxyLogon Microsoft Exchange Server.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n