Un actor de amenazas con un presunto nexo con China ha sido vinculado a una serie de ataques de espionaje en Filipinas que se basan principalmente en dispositivos USB como vector de infecci\u00f3n inicial.<\/p>\n
Mandiant, que es parte de Google Cloud, est\u00e1 rastreando el cl\u00faster bajo su nombre no categorizado. UNC4191<\/strong>. Un an\u00e1lisis de los artefactos utilizados en las intrusiones indica que la campa\u00f1a se remonta a septiembre de 2021.<\/p>\n “Las operaciones UNC4191 han afectado a una variedad de entidades del sector p\u00fablico y privado principalmente en el sudeste asi\u00e1tico y se han extendido a los EE. UU., Europa y APJ”, los investigadores Ryan Tomcik, John Wolfram, Tommy Dacanay y Geoff Ackerman. dijo<\/a>.<\/p>\n “Sin embargo, incluso cuando las organizaciones objetivo ten\u00edan su sede en otros lugares, tambi\u00e9n se descubri\u00f3 que los sistemas espec\u00edficos objetivo de UNC4191 estaban ubicados f\u00edsicamente en Filipinas”.<\/p>\n La dependencia de las unidades USB infectadas para propagar el malware es inusual, si no nueva. El gusano Raspberry Robin, que tiene evolucionado<\/a> en un servicio de acceso inicial para ataques de seguimiento, se sabe que utiliza unidades USB como punto de entrada.<\/p>\n La firma de inteligencia de amenazas y respuesta a incidentes dijo que los ataques llevaron al despliegue de tres nuevas familias de malware denominadas MISTCLOAK, DARKDEW, BLUEHAZE y Ncat<\/a>el \u00faltimo de los cuales es una utilidad de red de l\u00ednea de comandos que se utiliza para crear un shell inverso en el sistema de la v\u00edctima.<\/p>\n MISTCLOAK, por su parte, se activa cuando un usuario conecta un dispositivo extra\u00edble comprometido a un sistema, actuando como una plataforma de lanzamiento para una carga \u00fatil encriptada llamada DARKDEW que es capaz de infectar unidades extra\u00edbles, proliferando efectivamente las infecciones.<\/p>\n “El malware se autorreplica al infectar nuevas unidades extra\u00edbles que est\u00e1n conectadas a un sistema comprometido, lo que permite que las cargas \u00fatiles maliciosas se propaguen a sistemas adicionales y potencialmente recopilen datos de sistemas con brechas de aire”, explicaron los investigadores.<\/p>\n El cuentagotas DARKDEW tambi\u00e9n sirve para lanzar otro ejecutable (“DateCheck.exe”), una versi\u00f3n renombrada de una aplicaci\u00f3n leg\u00edtima y firmada conocida como “Razer Chromium Render Process” que invoca el malware BLUEHAZE.<\/p>\n BLUEHAZE, un lanzador escrito en C\/C++, lleva adelante la cadena de ataque iniciando una copia de Ncat para crear un shell inverso a una direcci\u00f3n de comando y control (C2) codificada.<\/p>\n “Creemos que esta actividad muestra las operaciones chinas para obtener y mantener el acceso a entidades p\u00fablicas y privadas con el fin de recopilar inteligencia relacionada con los intereses pol\u00edticos y comerciales de China”, dijeron los investigadores.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/Los-investigadores-detallan-la-vulnerabilidad-entre-inquilinos-de-AppSync-en.jpg\")
<\/a><\/center><\/div>\n![\"Hackers](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1669792586_981_Piratas-informaticos-chinos-de-ciberespionaje-utilizan-dispositivos-USB-para-atacar.png\" "\\"Hackers")
<\/div>\n![\"Hackers](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1669792586_665_Piratas-informaticos-chinos-de-ciberespionaje-utilizan-dispositivos-USB-para-atacar.png\" "\\"Hackers")
<\/div>\n