Los proveedores de servicios de telecomunicaciones y TI en el Medio Oriente y Asia est\u00e1n siendo atacados por un grupo de amenazas de habla china previamente indocumentado denominado WIP19<\/b>.<\/p>\n
Los ataques relacionados con el espionaje se caracterizan por el uso de un certificado digital robado emitido por una empresa coreana llamada DEEPSuave<\/b> para firmar artefactos maliciosos desplegados durante la cadena de infecci\u00f3n para evadir la detecci\u00f3n.<\/p>\n
“Casi todas las operaciones realizadas por el actor de amenazas se completaron con un ‘teclado pr\u00e1ctico’, durante una sesi\u00f3n interactiva con m\u00e1quinas comprometidas”, los investigadores de SentinelOne, Joey Chen y Amitai Ben Shushan Ehrlich. dijo<\/a> en un informe esta semana.<\/p>\n “Esto signific\u00f3 que el atacante se dio por vencido en un establo [command-and-control] canal a cambio de sigilo”.<\/p>\n WIP, abreviatura de trabajo en curso, es el apodo asignado por SentinelOne a grupos de actividad emergentes o hasta ahora no atribuidos, similar a las designaciones UNC####, DEV-#### y TAG-## dadas por Mandiant, Microsoft y Futuro Grabado.<\/p>\n La firma de ciberseguridad tambi\u00e9n se\u00f1al\u00f3 que partes seleccionadas de los componentes maliciosos empleados por WIP19 fueron creados por un autor de malware de habla china llamado WinEggDrop, que ha estado activo desde 2014.<\/p>\n Se dice que WIP19 comparte enlaces a otro grupo con nombre en c\u00f3digo Operaci\u00f3n Fuerza de la Sombra<\/a> debido a superposiciones en el uso de malware creado por WinEggDrop, certificados robados y superposiciones t\u00e1cticas.<\/p>\n Dicho esto, se\u00f1al\u00f3 SentinelOne, “no est\u00e1 claro si se trata de una nueva iteraci\u00f3n de la operaci\u00f3n ‘Shadow Force’ o simplemente de un actor diferente que utiliza TTP similares”.<\/p>\n Las intrusiones montadas por el colectivo adversario se basan en un conjunto de herramientas personalizado que incluye una combinaci\u00f3n de un volcador de credenciales, un esc\u00e1ner de red, un ladr\u00f3n de navegador, un registrador de pulsaciones de teclas y un grabador de pantalla (ScreenCap), y un implante conocido como SQLMaggie.<\/p>\n SQLMaggie tambi\u00e9n fue objeto de un an\u00e1lisis en profundidad por parte de la empresa alemana de ciberseguridad. DCSO CyTec<\/a> a principios de este mes, destacando su capacidad para ingresar a los servidores de Microsoft SQL y aprovechar el acceso para ejecutar comandos arbitrarios a trav\u00e9s de consultas SQL.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1665010874_885_Los-piratas-informaticos-aprovechan-la-vulnerabilidad-del-controlador-de-Dell.png\")
<\/a><\/div>\n![\"Grupo](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1665764020_16_Nuevo-grupo-chino-de-ciberespionaje-dirigido-a-proveedores-de-servicios.jpg\" "\\"Grupo")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Nueva-version-PHP-de-Ducktail-Malware-secuestrando-cuentas-comerciales-de.png\")
<\/a><\/div>\n