El actor centrado en el espionaje alineado con China llamado Winnti ha puesto su mirada en las organizaciones gubernamentales en Hong Kong como parte de una campa\u00f1a en curso denominada Operaci\u00f3n CuckooBees<\/strong>.<\/p>\n Activo desde al menos 2007, Winnti (tambi\u00e9n conocido como APT41, Bario, Bronze Atlas y Wicked Panda) es el nombre designado a un prol\u00edfico grupo de amenazas cibern\u00e9ticas que lleva a cabo actividades de espionaje patrocinadas por el estado chino, principalmente destinadas a robar propiedad intelectual de organizaciones en pa\u00edses desarrollados. econom\u00edas.<\/p>\n Las campa\u00f1as del actor de amenazas se han dirigido a los sectores de la salud, las telecomunicaciones, la alta tecnolog\u00eda, los medios, la agricultura y la educaci\u00f3n, y las cadenas de infecci\u00f3n se basan principalmente en correos electr\u00f3nicos de phishing con archivos adjuntos para ingresar inicialmente a las redes de las v\u00edctimas.<\/p>\n A principios de mayo, Cybereason revel\u00f3 ataques de larga duraci\u00f3n orquestados por el grupo desde 2019 para desviar secretos tecnol\u00f3gicos de empresas de tecnolog\u00eda y fabricaci\u00f3n ubicadas principalmente en Asia oriental, Europa occidental y Am\u00e9rica del Norte.<\/p>\n Se estima que las intrusiones, bajo el nombre de Operaci\u00f3n CuckooBees, resultaron en la filtraci\u00f3n de “cientos de gigabytes de informaci\u00f3n”, revel\u00f3 la compa\u00f1\u00eda de ciberseguridad israel\u00ed.<\/p>\n La \u00faltima actividad, seg\u00fan el Symantec<\/a> El equipo de Threat Hunter, parte de Broadcom Software, es una continuaci\u00f3n de la campa\u00f1a de robo de datos patentados, pero con un enfoque en Hong Kong.<\/p>\n Los atacantes permanecieron activos en algunas de las redes comprometidas durante un a\u00f1o, la empresa dijo<\/a> en un informe compartido con The Hacker News, agregar que las intrusiones allanaron el camino para la implementaci\u00f3n de un cargador de malware llamado esp\u00eda<\/a>que sali\u00f3 a la luz por primera vez en marzo de 2021.<\/p>\n “[Spyder] se est\u00e1 utilizando para ataques dirigidos a sistemas de almacenamiento de informaci\u00f3n, recopilando informaci\u00f3n sobre dispositivos da\u00f1ados, ejecutando cargas da\u00f1inas maliciosas, coordinando la ejecuci\u00f3n de scripts y la comunicaci\u00f3n del servidor C&C”, dijo el equipo de investigaci\u00f3n de amenazas de SonicWall Capture Labs. se\u00f1alado<\/a> en el momento.<\/p>\n Tambi\u00e9n se implementaron junto con Spyder otras herramientas posteriores a la explotaci\u00f3n, como Mimikatz<\/a> y un m\u00f3dulo DLL zlib troyano que es capaz de recibir comandos de un servidor remoto o cargar una carga \u00fatil arbitraria.<\/p>\n Symantec dijo que no observ\u00f3 la entrega de ning\u00fan malware en etapa final, aunque se sospecha que los motivos de la campa\u00f1a est\u00e1n relacionados con la recopilaci\u00f3n de inteligencia basada en superposiciones t\u00e1cticas con ataques anteriores.<\/p>\n “El hecho de que esta campa\u00f1a haya estado en curso durante varios a\u00f1os, con diferentes variantes del malware Spyder Loader desplegadas en ese momento, indica que los actores detr\u00e1s de esta actividad son adversarios persistentes y enfocados, con la capacidad de llevar a cabo operaciones sigilosas en las redes de las v\u00edctimas. durante un largo per\u00edodo de tiempo”, dijo Symantec.<\/p>\n Como una se\u00f1al m\u00e1s de la sofisticaci\u00f3n de Winnti, Malwarebytes descubierto<\/a> un conjunto separado de ataques dirigidos a entidades gubernamentales en Sri Lanka a principios de agosto con una nueva puerta trasera denominada DBoxAgent que aprovecha Dropbox para comando y control.<\/p>\n “Hasta donde sabemos, Winnti (una APT respaldada por China) est\u00e1 apuntando a Sri Lanka por primera vez”, dijo el equipo de Malwarebytes Threat Intelligence.<\/p>\n Killchain tambi\u00e9n se destaca por hacer uso de una imagen ISO alojada en Google Drive que pretende ser un documento que contiene informaci\u00f3n sobre asistencia econ\u00f3mica, lo que indica un intento por parte del actor de amenazas de capitalizar la crisis econ\u00f3mica en curso<\/a> en la naci\u00f3n<\/p>\n Lanzar un archivo LNK contenido dentro de la imagen ISO conduce a la ejecuci\u00f3n del implante DBoxAgent que permite al adversario tomar control remoto de la m\u00e1quina y exportar datos confidenciales al servicio de almacenamiento en la nube. Desde entonces, Dropbox ha deshabilitado la cuenta no autorizada.<\/p>\n La puerta trasera act\u00faa adem\u00e1s como un conducto para soltar herramientas de explotaci\u00f3n que abrir\u00edan la puerta a otros ataques y exfiltraci\u00f3n de datos, incluida la activaci\u00f3n de una secuencia de infecci\u00f3n de varias etapas que culmina en el uso de una puerta trasera C++ avanzada llamada KEYPLUG, que fue documentada por Mandiant de Google. en marzo de 2022.<\/p>\n El desarrollo marca la primera vez que se observa que APT41 utiliza Dropbox para fines de control y control, lo que ilustra el uso creciente por parte de los atacantes de ofertas leg\u00edtimas de software como servicio y en la nube para alojar contenido malicioso.<\/p>\n \u201cWinnti se mantiene activo y su arsenal sigue creciendo como uno de los grupos m\u00e1s sofisticados en la actualidad\u201d, dijo la firma de ciberseguridad. “La ubicaci\u00f3n de Sri Lanka en el sur de Asia es estrat\u00e9gica para China, ya que tiene acceso abierto al oc\u00e9ano \u00cdndico y est\u00e1 cerca de la India”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1665010874_885_Los-piratas-informaticos-aprovechan-la-vulnerabilidad-del-controlador-de-Dell.png\")
<\/a><\/div>\nWinnti apunta a entidades gubernamentales de Sri Lanka<\/h3>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Nueva-version-PHP-de-Ducktail-Malware-secuestrando-cuentas-comerciales-de.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1666095984_815_Detectado-malware-chino-Spyder-Loader-dirigido-a-organizaciones-en-Hong.jpg\")
<\/div>\n