Los investigadores de seguridad cibern\u00e9tica han descubierto un malware personalizado sigiloso y previamente indocumentado llamado Calcet\u00ednDesv\u00edo<\/b> que se dirigi\u00f3 a los contratistas de defensa con sede en EE. UU. con el objetivo de ser utilizado como un implante secundario en hosts de Windows comprometidos.<\/p>\n
“SockDetour es una puerta trasera que est\u00e1 dise\u00f1ada para permanecer sigilosamente en servidores Windows comprometidos para que pueda servir como una puerta trasera de respaldo en caso de que falle la principal”, la inteligencia de amenazas de la Unidad 41 de Palo Alto Networks. dijo<\/a> en un informe publicado el jueves. “Es dif\u00edcil de detectar, ya que funciona sin archivos ni sockets en servidores Windows comprometidos”.<\/p>\n A\u00fan m\u00e1s preocupante, se cree que SockDetour se us\u00f3 en ataques desde al menos julio de 2019, seg\u00fan una marca de tiempo de compilaci\u00f3n en la muestra, lo que implica que la puerta trasera logr\u00f3 pasar con \u00e9xito la detecci\u00f3n durante m\u00e1s de dos a\u00f1os y medio.<\/p>\n Los ataques se han atribuido a un grupo de amenazas que rastrea como TiltedTemple (tambi\u00e9n conocido como DEV-0322 de Microsoft), que es el apodo designado para un grupo de pirater\u00eda que opera fuera de China y fue fundamental en la explotaci\u00f3n de fallas de d\u00eda cero en Zoho ManageEngine ADSelfService Plus y ServiceDesk. M\u00e1s implementaciones como plataforma de lanzamiento para ataques de malware el a\u00f1o pasado.<\/p>\n Los v\u00ednculos con TiltedTemple provienen de superposiciones en la infraestructura de ataque, con uno de los servidores de comando y control (C2) que se us\u00f3 para facilitar la distribuci\u00f3n de malware para las campa\u00f1as de finales de 2021 que tambi\u00e9n aloja la puerta trasera SockDetour, junto con una utilidad de volcado de memoria. y n\u00famero de shells web para acceso remoto.<\/p>\n La Unidad 42 dijo que descubri\u00f3 evidencia de al menos cuatro contratistas de defensa que fueron objeto de la nueva ola de ataques, lo que result\u00f3 en el compromiso de uno de ellos.<\/p>\n Las intrusiones tambi\u00e9n son anteriores a los ataques que ocurrieron a trav\u00e9s de servidores Zoho ManageEngine comprometidos en agosto de 2021 por un mes. El an\u00e1lisis de la campa\u00f1a ha revelado que SockDetour se entreg\u00f3 desde un servidor FTP externo al servidor de Windows con acceso a Internet de un contratista de defensa con sede en EE. UU. el 27 de julio de 2021.<\/p>\n “El servidor FTP que alojaba a SockDetour era un servidor de almacenamiento conectado a la red (NAS) comprometido para peque\u00f1as oficinas y oficinas dom\u00e9sticas (SOHO) de Quality Network Appliance Provider (QNAP),” se\u00f1alaron los investigadores. “Se sabe que el servidor NAS tiene m\u00faltiples vulnerabilidades, incluida una ejecuci\u00f3n remota de c\u00f3digo<\/a> vulnerabilidad, CVE-2021-28799″.<\/p>\n Adem\u00e1s, se dice que el mismo servidor ya estaba infectado con el ransomware QLocker, lo que aumenta la posibilidad de que el actor de TiltedTemple aprovech\u00f3 la misma falla para obtener acceso inicial no autorizado.<\/p>\n SockDetour, por su parte, est\u00e1 dise\u00f1ado como una puerta trasera suplente que secuestra los sockets de red de procesos leg\u00edtimos para establecer su propio canal C2 encriptado, seguido de la carga de un archivo DLL de complemento no identificado recuperado del servidor.<\/p>\n “Por lo tanto, SockDetour no requiere abrir un puerto de escucha desde el cual recibir una conexi\u00f3n ni llamar a una red externa para establecer un canal C2 remoto”, dijeron los investigadores. “Esto hace que la puerta trasera sea m\u00e1s dif\u00edcil de detectar tanto desde el host como desde la red”.<\/p>\n <\/p>\n<\/div>\n![\"Copias](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Notorious-Trickbot-Malware-Gang-cierra-su-infraestructura-de-botnet.png\")
<\/a><\/div>\n![\"Evitar](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/1645691527_265_Nuevo-malware-de-limpiaparabrisas-dirigido-a-Ucrania-en-medio-de.png\")
<\/a><\/div>\n