Un grupo de pirater\u00eda recientemente descubierto conocido por atacar a los empleados que se ocupan de las transacciones corporativas se ha vinculado a una nueva puerta trasera llamada Danfu\u00e1n<\/b>.<\/p>\n
Este malware hasta ahora no documentado se entrega a trav\u00e9s de otro cuentagotas llamado Geppei, investigadores de Symantec, por Broadcom Software, dijo<\/a> en un informe compartido con The Hacker News.<\/p>\n El cuentagotas “se est\u00e1 utilizando para instalar una nueva puerta trasera y otras herramientas utilizando la t\u00e9cnica novedosa de leer comandos de registros de Servicios de Informaci\u00f3n de Internet (IIS) aparentemente inocuos”, dijeron los investigadores.<\/p>\n La compa\u00f1\u00eda de ciberseguridad atribuy\u00f3 el conjunto de herramientas a un presunto actor de espionaje llamado UNC3524, tambi\u00e9n conocido como Cranefly, que sali\u00f3 a la luz por primera vez en mayo de 2022 por su enfoque en la recopilaci\u00f3n masiva de correos electr\u00f3nicos de v\u00edctimas que se ocupan de fusiones y adquisiciones y otras transacciones financieras.<\/p>\n Una de las cepas de malware clave del grupo es QUIETEXIT, una puerta trasera implementada en dispositivos de red que no admiten antivirus o detecci\u00f3n de puntos finales, como balanceadores de carga y controladores de puntos de acceso inal\u00e1mbricos, lo que permite al atacante escapar de la detecci\u00f3n durante per\u00edodos prolongados.<\/p>\n Geppei y Danfuan se suman al armamento cibern\u00e9tico personalizado de Cranefly, y el primero act\u00faa como un cuentagotas al leer comandos de los registros de IIS que se hacen pasar por solicitudes de acceso web inofensivas enviadas a un servidor comprometido.<\/p>\n “Los comandos le\u00eddos por Geppei contienen archivos .ashx codificados maliciosos”, se\u00f1alaron los investigadores. “Estos archivos se guardan en una carpeta arbitraria determinada por el par\u00e1metro de comando y se ejecutan como puertas traseras”.<\/p>\n Esto incluye un shell web llamado regeorg<\/a>que ha sido utilizado por otros actores como APT28, DeftTorero<\/a>y Worok, y un malware nunca antes visto denominado Danfuan, que est\u00e1 dise\u00f1ado para ejecutar el c\u00f3digo C# recibido.<\/p>\n Symantec dijo que no ha observado que el actor de amenazas extraiga datos de las m\u00e1quinas de las v\u00edctimas a pesar de un largo tiempo de permanencia de 18 meses en las redes comprometidas.<\/p>\n “El uso de una t\u00e9cnica novedosa y herramientas personalizadas, as\u00ed como los pasos tomados para ocultar los rastros de esta actividad en las m\u00e1quinas de las v\u00edctimas, indican que Cranefly es un actor de amenazas bastante h\u00e1bil”, concluyeron los investigadores.<\/p>\n “Las herramientas desplegadas y los esfuerzos realizados para ocultar esta actividad […] indican que la motivaci\u00f3n m\u00e1s probable para este grupo es la recopilaci\u00f3n de inteligencia”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Adolescente-de-19-anos-arrestado-por-usar-datos-filtrados-de.png\")
<\/a><\/div>\n