Se ha observado a un actor de amenazas centrado en el espionaje utilizando un truco esteganogr\u00e1fico para ocultar una puerta trasera previamente no documentada en un logotipo de Windows en sus ataques contra los gobiernos de Medio Oriente.<\/p>\n
El equipo Symantec Threat Hunter de Broadcom atribuy\u00f3 las herramientas actualizadas a un grupo de pirater\u00eda que rastrea con el nombre bruja<\/strong>que tambi\u00e9n se conoce como LookingFrog, un subgrupo que opera bajo el paraguas TA410.<\/p>\n Las intrusiones que involucran a TA410, que se cree que comparte conexiones con un grupo de amenazas chino conocido como APT10 (tambi\u00e9n conocido como Cicada, Stone Panda o TA429), presentan principalmente un implante modular llamado LookBack.<\/p>\n El \u00faltimo an\u00e1lisis de Symantec de los ataques entre febrero y septiembre de 2022, durante los cuales el grupo apunt\u00f3 a los gobiernos de dos pa\u00edses del Medio Oriente y la bolsa de valores de una naci\u00f3n africana, destaca el uso de una nueva puerta trasera llamada Stegmap.<\/p>\n El nuevo malware aprovecha esteganograf\u00eda<\/a> \u2013 una t\u00e9cnica utilizada para incrustar un mensaje (en este caso, malware) en un documento no secreto \u2013 para extraer c\u00f3digo malicioso de una imagen de mapa de bits de un antiguo logotipo de Microsoft Windows alojado en un repositorio de GitHub.<\/p>\n “Ocultar la carga \u00fatil de esta manera permiti\u00f3 a los atacantes alojarla en un servicio gratuito y confiable”, dijeron los investigadores. dijo<\/a>. “Es mucho menos probable que las descargas desde hosts confiables como GitHub generen se\u00f1ales de alerta que las descargas desde un servidor de comando y control (C&C) controlado por un atacante”.<\/p>\n Stegmap, como cualquier otra puerta trasera, tiene una amplia gama de funciones que le permiten realizar operaciones de manipulaci\u00f3n de archivos, descargar y ejecutar ejecutables, finalizar procesos y realizar modificaciones en el Registro de Windows.<\/p>\n Los ataques que conducen al despliegue de Stegmap utilizan las vulnerabilidades ProxyLogon y ProxyShell en Exchange Server para eliminar el shell web de China Chopper, que luego se usa para llevar a cabo actividades de robo de credenciales y movimiento lateral, antes de lanzar el malware LookBack.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/Nueva-campana-de-malware-dirigida-a-solicitantes-de-empleo-con.png\")
<\/a><\/div>\n