Un actor de amenazas persistentes avanzado alineado con China conocido como TA413 utiliz\u00f3 como arma las fallas recientemente reveladas en Sophos Firewall y Microsoft Office para implementar una puerta trasera nunca antes vista llamada BAJO CERO <\/b>como parte de una campa\u00f1a de espionaje dirigida a entidades tibetanas.<\/p>\n
Los objetivos consist\u00edan principalmente en organizaciones asociadas con la comunidad tibetana, incluidas empresas asociadas con el gobierno tibetano en el exilio.<\/p>\n
Las intrusiones involucraron la explotaci\u00f3n de CVE-2022-1040 y CVE-2022-30190 (tambi\u00e9n conocido como “Follina”), dos vulnerabilidades de ejecuci\u00f3n remota de c\u00f3digo en Sophos Firewall y Microsoft Office, respectivamente.<\/p>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/Ucrania-arresta-a-grupo-de-ciberdelincuencia-por-vender-datos-de.png\")
<\/a><\/div>\n“Esta voluntad de incorporar r\u00e1pidamente nuevas t\u00e9cnicas y m\u00e9todos de acceso inicial contrasta con el uso continuo del grupo de capacidades bien conocidas e informadas, como el armamento Royal Road RTF, y las tendencias a menudo laxas de adquisici\u00f3n de infraestructura”, Recorded Future dijo<\/a> en un nuevo an\u00e1lisis t\u00e9cnico.<\/p>\n TA413, tambi\u00e9n conocido como LuckyCat, se ha vinculado a organizaciones e individuos asociados con la comunidad tibetana sin descanso al menos desde 2020 utilizando malware como ExileRAT, Sepulcher y una extensi\u00f3n maliciosa del navegador Mozilla Firefox denominada FriarFox.<\/p>\n Proofpoint destac\u00f3 previamente la explotaci\u00f3n de la falla de Follina por parte del grupo en junio de 2022, aunque el objetivo final de las cadenas de infecci\u00f3n segu\u00eda sin estar claro.<\/p>\n Tambi\u00e9n se utiliz\u00f3 en un ataque de spear-phishing identificado en mayo de 2022 un documento RTF malicioso que aprovech\u00f3 fallas en Microsoft Equation Editor para descartar el implante LOWZERO personalizado. Esto se logra empleando un Herramienta de armamento Royal Road RTF<\/a>que es ampliamente compartido entre los actores de amenazas chinos.<\/p>\n En otro correo electr\u00f3nico de phishing enviado a un objetivo tibetano a fines de mayo, un archivo adjunto de Microsoft Word alojado en el servicio Google Firebase intent\u00f3 aprovechar la vulnerabilidad de Follina para ejecutar un comando de PowerShell dise\u00f1ado para descargar la puerta trasera desde un servidor remoto.<\/p>\n LOWZERO, la puerta trasera, es capaz de recibir m\u00f3dulos adicionales de su servidor de comando y control (C2), pero solo con la condici\u00f3n de que la m\u00e1quina comprometida se considere de inter\u00e9s para el atacante.<\/p>\n “El grupo contin\u00faa incorporando nuevas capacidades al mismo tiempo que conf\u00eda en los probados y probados [tactics, techniques, and procedures,” the cybersecurity firm said.<\/p>\n “TA413’s adoption of both zero-day and recently published vulnerabilities is indicative of wider<\/a> trends<\/a> with Chinese cyber-espionage groups whereby exploits regularly appear in use by multiple distinct Chinese activity groups prior to their widespread public availability.”<\/p>\n <\/p>\n<\/div>\n![\"Hackers](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1664199988_401_Los-piratas-informaticos-de-espionaje-chinos-apuntan-a-los-tibetanos.jpg\" "\\"Hackers")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n