Las entidades ubicadas en el este y sudeste de Asia, as\u00ed como en Ucrania, han sido atacadas al menos desde 2020 por un subgrupo previamente indocumentado de APT41, una prol\u00edfica amenaza persistente avanzada (APT) china.<\/p>\n
La empresa de ciberseguridad Trend Micro, que bautizado<\/a> el equipo de espionaje Tierra Longzhi<\/strong>dijo que la campa\u00f1a de larga duraci\u00f3n del actor se puede dividir en dos seg\u00fan el conjunto de herramientas desplegado para atacar a sus v\u00edctimas.<\/p>\n Se dice que la primera ola de mayo de 2020 a febrero de 2021 tuvo como objetivo las industrias del gobierno, la infraestructura y la atenci\u00f3n m\u00e9dica en Taiw\u00e1n y el sector bancario en China, mientras que el conjunto posterior de intrusiones de agosto de 2021 a junio de 2022 infiltr\u00f3 v\u00edctimas de alto perfil en Ucrania y varios pa\u00edses de Asia.<\/p>\n Esto incluy\u00f3 industrias de defensa, aviaci\u00f3n, seguros y desarrollo urbano en Taiw\u00e1n, China, Tailandia, Malasia, Indonesia, Pakist\u00e1n y Ucrania.<\/p>\n Los patrones de victimolog\u00eda y los sectores objetivo se superponen con los ataques organizados por un grupo hermano distinto de APT41 (tambi\u00e9n conocido como Winnti) conocido como Earth Baku, agreg\u00f3 la compa\u00f1\u00eda japonesa de ciberseguridad.<\/p>\n Algunas de las actividades cibern\u00e9ticas maliciosas de Earth Baku han sido vinculadas a grupos llamados por otras firmas de ciberseguridad ESET y Symantec bajo los nombres SparklingGoblin y Grayfly, respectivamente.<\/p>\n “Las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) de SparklingGoblin se superponen parcialmente con los TTP de APT41”, dijo anteriormente el investigador de ESET Mathieu Tartare a The Hacker News. “La definici\u00f3n de Grayfly dada por Symantec parece (al menos parcialmente) superponerse con SparklingGoblin”.<\/p>\n Ahora Earth Longzhi se suma a otra pieza en el rompecabezas del ataque APT41, con el actor que tambi\u00e9n comparte enlaces a un tercer subgrupo denominado GrupoCC<\/a> (tambi\u00e9n conocido como APT17, Aurora Panda o Bronze Keystone).<\/p>\n Los ataques orquestados por el grupo de piratas inform\u00e1ticos aprovechan los correos electr\u00f3nicos de phishing como el vector de entrada inicial. Se sabe que estos mensajes incorporan archivos protegidos con contrase\u00f1a o enlaces a archivos alojados en Google Drive que, cuando se abren, inician un cargador Cobalt Strike denominado CroxLoader.<\/p>\n En algunos casos, se ha observado al grupo armando fallas de ejecuci\u00f3n remota de c\u00f3digo en aplicaciones expuestas p\u00fablicamente para entregar un shell web capaz de dejar caer un cargador de pr\u00f3xima etapa denominado Symatic que est\u00e1 dise\u00f1ado para implementar Cobalt Strike.<\/p>\n Tambi\u00e9n se utiliza como parte de sus actividades posteriores a la explotaci\u00f3n una “herramienta todo en uno”, que combina varias funciones personalizadas y disponibles p\u00fablicamente en un solo paquete y se cree que ha estado disponible desde septiembre de 2014.<\/p>\n La segunda serie de ataques iniciados por Earth Longzhi sigue un patr\u00f3n similar, la principal diferencia es el uso de diferentes cargadores Cobalt Strike llamados CroxLoader, BigpipeLoader y OutLoader para dejar caer el marco del equipo rojo en los hosts infectados.<\/p>\n Los ataques recientes se destacan a\u00fan m\u00e1s por el uso de herramientas personalizadas que pueden deshabilitar el software de seguridad, volcar las credenciales usando una versi\u00f3n modificada de Mimikatz y aprovechar las fallas en el componente Windows Print Spooler (es decir, PrintNightmare) para aumentar los privilegios.<\/p>\n Adem\u00e1s, la incapacitaci\u00f3n de las soluciones de seguridad instaladas se lleva a cabo mediante un m\u00e9todo llamado traer su propio controlador vulnerable (BYOVD), que implica la explotaci\u00f3n de una falla conocida en el controlador RTCore64.sys (CVE-2019-16098<\/a>).<\/p>\n Esto se lleva a cabo usando ProcBurner, una herramienta para eliminar procesos en ejecuci\u00f3n espec\u00edficos, mientras que otro malware personalizado llamado AVBurner se usa para anular el registro del sistema de detecci\u00f3n y respuesta de punto final (EDR) al eliminar las devoluciones de llamadas de creaci\u00f3n de procesos, un mecanismo que fue detallado<\/a> por un investigador de seguridad que usa el alias brsn en agosto de 2020.<\/p>\n Vale la pena se\u00f1alar que la versi\u00f3n obsoleta del controlador RTCore64.sys, que todav\u00eda tiene una firma digital v\u00e1lida, ha sido utilizada por m\u00faltiples actores de amenazas como BlackByte y OldGremlin en los \u00faltimos meses.<\/p>\n “[Earth Longzhi’s] Los sectores objetivo se encuentran en industrias pertinentes para la seguridad nacional y las econom\u00edas de los pa\u00edses de Asia y el Pac\u00edfico\u201d, dijeron los investigadores. \u201cLas actividades en estas campa\u00f1as muestran que el grupo tiene conocimientos sobre las operaciones del equipo rojo\u201d.<\/p>\n “El grupo utiliza t\u00e9cnicas de ingenier\u00eda social para propagar su malware e implementar herramientas de pirateo personalizadas para eludir la protecci\u00f3n de los productos de seguridad y robar datos confidenciales de las m\u00e1quinas comprometidas”.<\/p>\n <\/p>\n<\/div>\n![\"Golpe](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1668439878_777_Nuevo-quotTierra-Longzhiquot-APT-apunta-a-Ucrania-y-los-paises.jpg\" "\\"Golpe")
<\/div>\n![\"Golpe](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1668439878_468_Nuevo-quotTierra-Longzhiquot-APT-apunta-a-Ucrania-y-los-paises.jpg\" "\\"Golpe")
<\/div>\n![](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/El-servicio-de-phishing-de-Robin-Banks-para-ciberdelincuentes-regresa.gif\")
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Adolescente-de-19-anos-arrestado-por-usar-datos-filtrados-de.png\")
<\/a><\/center><\/div>\n