Es probable que una campa\u00f1a maliciosa dirigida a Oriente Medio est\u00e9 vinculada a Diplomacia de puerta trasera<\/strong>un grupo de amenaza persistente avanzada (APT) con v\u00ednculos con China.<\/p>\n Se dice que la actividad de espionaje, dirigida contra una empresa de telecomunicaciones en la regi\u00f3n, comenz\u00f3 el 19 de agosto de 2021 a trav\u00e9s de la explotaci\u00f3n exitosa de las fallas de ProxyShell en Microsoft Exchange Server.<\/p>\n El compromiso inicial aprovech\u00f3 los binarios vulnerables a las t\u00e9cnicas de carga lateral, seguido del uso de una combinaci\u00f3n de herramientas leg\u00edtimas y personalizadas para realizar reconocimientos, recopilar datos, moverse lateralmente por el entorno y evadir la detecci\u00f3n.<\/p>\n “Los atributos de archivo de las herramientas maliciosas mostraron que las primeras herramientas implementadas por los actores de amenazas fueron la herramienta de proxy NPS y la puerta trasera IRAFAU”, dijeron los investigadores de Bitdefender, Victor Vrabie y Adrian Schipor, en un comunicado. reporte<\/a> compartido con The Hacker News.<\/p>\n “A partir de febrero de 2022, los actores de amenazas utilizaron otra herramienta: [the] Puerta trasera de Quarian, junto con muchos otros esc\u00e1neres y herramientas de t\u00fanel\/proxy”. <\/p>\n BackdoorDiplomacy fue documentado por primera vez por ESET en junio de 2021, con las intrusiones dirigidas principalmente a entidades diplom\u00e1ticas y empresas de telecomunicaciones en \u00c1frica y Medio Oriente para implementar Quarian (tambi\u00e9n conocido como Turian o Whitebird).<\/p>\n Los motivos de espionaje del ataque se evidencian en el uso de secuencias de comandos keylogger y PowerShell dise\u00f1adas para recopilar contenido de correo electr\u00f3nico. IRAFAU, que es el primer componente de malware entregado despu\u00e9s de obtener un punto de apoyo, se utiliza para realizar el descubrimiento de informaci\u00f3n y el movimiento lateral.<\/p>\n Esto se facilita descargando y cargando archivos desde y hacia un servidor de comando y control (C2), iniciando un shell remoto y ejecutando archivos arbitrarios.<\/p>\n La segunda puerta trasera utilizada en la operaci\u00f3n es una versi\u00f3n actualizada de Quarian, que viene con un conjunto m\u00e1s amplio de capacidades para controlar el host comprometido.<\/p>\n Tambi\u00e9n se pone en uso una herramienta denominada Impersoni-fake-ator que est\u00e1 integrada en utilidades leg\u00edtimas como Vista de depuraci\u00f3n<\/a> y Putty y est\u00e1 dise\u00f1ado para capturar metadatos del sistema y ejecutar una carga \u00fatil descifrada recibida del servidor C2.<\/p>\n La intrusi\u00f3n se caracteriza adem\u00e1s por el uso de software de c\u00f3digo abierto como De rata<\/a>una herramienta de administraci\u00f3n remota de Golang, y AsyncRAT<\/a>el \u00faltimo de los cuales probablemente se elimine a trav\u00e9s de Quarian.<\/p>\n La atribuci\u00f3n de Bitdefender del ataque a BackdoorDiplomacy proviene de superposiciones en la infraestructura C2 identificada como utilizada por el grupo en campa\u00f1as anteriores.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/Los-investigadores-detallan-la-vulnerabilidad-entre-inquilinos-de-AppSync-en.jpg\")
<\/a><\/center><\/div>\n![\"\u00daltimos](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/Los-piratas-informaticos-chinos-apuntan-a-las-telecomunicaciones-de-Medio.png\" "\\"\u00daltimos")
<\/div>\n