El actor de amenazas patrocinado por el estado chino conocido como Panda de piedra<\/b> se ha observado que emplea una nueva cadena de infecci\u00f3n sigilosa en sus ataques dirigidos a entidades japonesas.<\/p>\n
Los objetivos incluyen medios de comunicaci\u00f3n, organizaciones diplom\u00e1ticas, gubernamentales y del sector p\u00fablico y centros de estudios en Jap\u00f3n, seg\u00fan mellizo<\/a> informes<\/a> publicado por Kaspersky.<\/p>\n Panda de piedra<\/a>, tambi\u00e9n llamado APT10, Bronze Riverside, Cicada y Potassium, es un grupo de ciberespionaje conocido por sus intrusiones contra organizaciones identificadas como estrat\u00e9gicamente significativas para China. Se cree que el actor de amenazas ha estado activo desde al menos 2009.<\/p>\n El \u00faltimo conjunto de ataques, observado entre marzo y junio de 2022, involucra el uso de un archivo falso de Microsoft Word y un archivo de archivo autoextra\u00edble (SFX) en formato RAR propagado a trav\u00e9s de correos electr\u00f3nicos de phishing, lo que lleva a la ejecuci\u00f3n de una puerta trasera llamada LODEINFO.<\/p>\n Si bien el maldoc requiere que los usuarios habiliten macros para activar la cadena de eliminaci\u00f3n, se descubri\u00f3 que la campa\u00f1a de junio de 2022 abandon\u00f3 este m\u00e9todo a favor de un archivo SFX que, cuando se ejecuta, muestra un documento de Word se\u00f1uelo inofensivo para ocultar las actividades maliciosas.<\/p>\n La macro, una vez habilitada, suelta un archivo ZIP que contiene dos archivos, uno de los cuales (“NRTOLF.exe”) es un ejecutable leg\u00edtimo del software K7Security Suite que posteriormente se usa para cargar una DLL no autorizada (“K7SysMn1.dll”) a trav\u00e9s de Carga lateral de DLL<\/a>.<\/p>\n Dejando a un lado el abuso de la aplicaci\u00f3n de seguridad, Kaspersky dijo que tambi\u00e9n descubri\u00f3 en junio de 2022 otro m\u00e9todo de infecci\u00f3n inicial en el que un archivo de Microsoft Word protegido con contrase\u00f1a actu\u00f3 como un conducto para entregar un descargador sin archivos denominado DOWNIISSA al habilitar macros.<\/p>\n \u201cLa macro incrustada genera el shellcode DOWNIISSA y lo inyecta en el proceso actual (WINWORD.exe)\u201d, dijo la compa\u00f1\u00eda rusa de ciberseguridad.<\/p>\n DOWNIISSA est\u00e1 configurado para comunicarse con un servidor remoto codificado, us\u00e1ndolo para recuperar una carga \u00fatil BLOB encriptada de LODEINFO, una puerta trasera capaz de ejecutar shellcode arbitrario, tomar capturas de pantalla y filtrar archivos de vuelta al servidor.<\/p>\n El malware, que se vio por primera vez en 2019, experiment\u00f3 numerosas mejoras, y Kaspersky identific\u00f3 seis versiones diferentes en marzo, abril, junio y septiembre de 2022.<\/p>\n Los cambios incluyen t\u00e9cnicas de evasi\u00f3n mejoradas para pasar desapercibido, deteniendo la ejecuci\u00f3n en m\u00e1quinas con el lugar<\/a> “en_US”, revisando la lista de comandos compatibles y ampliando la compatibilidad con la arquitectura Intel de 64 bits.<\/p>\n “El malware LODEINFO se actualiza con mucha frecuencia y contin\u00faa atacando activamente a las organizaciones japonesas”, concluyeron los investigadores.<\/p>\n “Los TTP actualizados y las mejoras en LODEINFO y el malware relacionado […] indican que el atacante est\u00e1 particularmente enfocado en hacer que la detecci\u00f3n, el an\u00e1lisis y la investigaci\u00f3n sean m\u00e1s dif\u00edciles para los investigadores de seguridad”.<\/p>\n <\/p>\n<\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1667345667_646_Piratas-informaticos-chinos-utilizan-una-nueva-cadena-de-infeccion-sigilosa.jpg\")
<\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1667345667_267_Piratas-informaticos-chinos-utilizan-una-nueva-cadena-de-infeccion-sigilosa.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/Piratas-informaticos-chinos-utilizan-una-nueva-cadena-de-infeccion-sigilosa.png\")
<\/a><\/div>\n