{"id":545652,"date":"2022-12-27T17:14:57","date_gmt":"2022-12-27T17:14:57","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-bluenoroff-apt-utilizan-nuevas-formas-de-eludir-la-proteccion-motw-de-windows\/"},"modified":"2022-12-27T17:14:59","modified_gmt":"2022-12-27T17:14:59","slug":"los-piratas-informaticos-bluenoroff-apt-utilizan-nuevas-formas-de-eludir-la-proteccion-motw-de-windows","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-bluenoroff-apt-utilizan-nuevas-formas-de-eludir-la-proteccion-motw-de-windows\/","title":{"rendered":"Los piratas inform\u00e1ticos BlueNoroff APT utilizan nuevas formas de eludir la protecci\u00f3n MotW de Windows"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">27 de diciembre de 2022<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Ataque cibern\u00e9tico \/ Seguridad de Windows<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p><strong>azulnoroff<\/strong>un subcl\u00faster del notorio Lazarus Group, ha sido observado adoptando nuevas t\u00e9cnicas en su libro de jugadas que le permiten eludir Windows <b>marca de la web<\/b> (MotW) protecciones.<\/p>\n<p>Esto incluye el uso de formatos de archivo de imagen de disco \u00f3ptico (extensi\u00f3n .ISO) y disco duro virtual (extensi\u00f3n .VHD) como parte de una nueva cadena de infecci\u00f3n, revel\u00f3 Kaspersky en un informe publicado hoy.<\/p>\n<p>&#8220;BlueNoroff cre\u00f3 numerosos dominios falsos haci\u00e9ndose pasar por compa\u00f1\u00edas de capital de riesgo y bancos&#8221;, el investigador de seguridad Seongsu Park <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/bluenoroff-methods-bypass-motw\/108383\/\" target=\"_blank\">dijo<\/a>agregando que el nuevo procedimiento de ataque se marc\u00f3 en su telemetr\u00eda en septiembre de 2022.<\/p>\n<p>Se ha descubierto que algunos de los dominios falsos imitan a ABF Capital, Angel Bridge, ANOBAKA, Bank of America y Mitsubishi UFJ Financial Group, la mayor\u00eda de los cuales se encuentran en Jap\u00f3n, lo que indica un &#8220;gran inter\u00e9s&#8221; en la regi\u00f3n.<\/p>\n<p>Tambi\u00e9n llamado por los nombres APT38, Nickel Gladstone y Stardust Chollima, BlueNoroff es parte del grupo de amenazas Lazarus m\u00e1s grande que tambi\u00e9n <a rel=\"nofollow noopener\" href=\"https:\/\/www.secureworks.com\/research\/threat-profiles?filter=item-north-korea\" target=\"_blank\">comprende<\/a> Andariel (alias Nickel Hyatt o Silent Chollima) y Labyrinth Chollima (alias Nickel Academy).<\/p>\n<p>El actor de amenazas <a rel=\"nofollow noopener\" href=\"https:\/\/edition.cnn.com\/2022\/07\/10\/politics\/north-korean-hackers-crypto-currency-firms-infiltrate\/index.html\" target=\"_blank\">motivaciones financieras<\/a> a diferencia del espionaje, lo ha convertido en un actor de estado-naci\u00f3n inusual en el panorama de amenazas, lo que permite una &#8220;dispersi\u00f3n geogr\u00e1fica m\u00e1s amplia&#8221; y le permite infiltrarse en organizaciones en Am\u00e9rica del Norte y del Sur, Europa, \u00c1frica y Asia.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La seguridad cibern\u00e9tica\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/1671775336_930_LastPass-admite-violacion-grave-de-datos-bovedas-de-contrasenas-cifradas.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Desde entonces, se ha asociado con ataques cibern\u00e9ticos de alto perfil dirigidos a la red bancaria SWIFT entre 2015 y 2016, incluido el audaz atraco al Banco de Bangladesh en febrero de 2016 que condujo a la <a rel=\"nofollow noopener\" href=\"https:\/\/www.bbc.com\/news\/stories-57520169\" target=\"_blank\">robo de $81 millones<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/1672161297_852_Los-piratas-informaticos-BlueNoroff-APT-utilizan-nuevas-formas-de-eludir.png\" alt=\"Grupo L\u00e1zaro\" border=\"0\" data-original-height=\"430\" data-original-width=\"728\" title=\"Grupo L\u00e1zaro\"\/><\/div>\n<p>Desde al menos 2018, BlueNoroff parece haber experimentado un cambio t\u00e1ctico, alej\u00e1ndose de los bancos en huelga para centrarse \u00fanicamente en las entidades de criptomonedas para generar ingresos il\u00edcitos.<\/p>\n<p>Con ese fin, Kaspersky a principios de este a\u00f1o revel\u00f3 detalles de una campa\u00f1a denominada SnatchCrypto orquestada por el colectivo adversario para drenar los fondos digitales de las billeteras de criptomonedas de las v\u00edctimas.<\/p>\n<p>Otro <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/cryptocurrency-businesses-still-being-targeted-by-lazarus\/90019\/\" target=\"_blank\">actividad clave<\/a> atribuido al grupo es AppleJeus, en el que se establecen compa\u00f1\u00edas de criptomonedas falsas para atraer a v\u00edctimas involuntarias para que instalen aplicaciones de apariencia benigna que eventualmente reciben actualizaciones de puerta trasera.<\/p>\n<p>La \u00faltima actividad identificada por la empresa rusa de ciberseguridad introduce ligeras modificaciones para transmitir su carga \u00fatil final, intercambiando archivos adjuntos de documentos de Microsoft Word por archivos ISO en correos electr\u00f3nicos de phishing para desencadenar la infecci\u00f3n.<\/p>\n<p>Estos archivos de imagen \u00f3ptica, a su vez, contienen una presentaci\u00f3n de diapositivas de Microsoft PowerPoint (.PPSX) y un script de Visual Basic (VBScript) que se ejecuta cuando el objetivo hace clic en un v\u00ednculo del archivo de PowerPoint.<\/p>\n<p>En un m\u00e9todo alternativo, se inicia un archivo por lotes de Windows con malware mediante la explotaci\u00f3n de un binario living-off-the-land (LOLBin) para recuperar un descargador de segunda etapa que se usa para obtener y ejecutar una carga \u00fatil remota.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/1672161297_443_Los-piratas-informaticos-BlueNoroff-APT-utilizan-nuevas-formas-de-eludir.png\" alt=\"Grupo L\u00e1zaro\" border=\"0\" data-original-height=\"464\" data-original-width=\"728\" title=\"Grupo L\u00e1zaro\"\/><\/div>\n<p>Kaspersky tambi\u00e9n descubri\u00f3 una muestra .VHD que viene con un archivo PDF de descripci\u00f3n de trabajo de se\u00f1uelo que est\u00e1 armado para generar un descargador intermedio que se hace pasar por software antivirus para obtener la carga \u00fatil de la siguiente etapa, pero no antes. <a rel=\"nofollow noopener\" href=\"https:\/\/www.ired.team\/offensive-security\/defense-evasion\/how-to-unhook-a-dll-using-c++\" target=\"_blank\">deshabilitar<\/a> soluciones EDR genuinas mediante la eliminaci\u00f3n de ganchos de modo de usuario.<\/p>\n<p>Si bien la puerta trasera entregada no est\u00e1 clara, se considera que es similar a una puerta trasera de persistencia utilizada en los ataques de SnatchCrypto. <\/p>\n<p>El uso de nombres de archivo japoneses para uno de los documentos se\u00f1uelos, as\u00ed como la creaci\u00f3n de dominios fraudulentos disfrazados de compa\u00f1\u00edas de capital de riesgo japonesas leg\u00edtimas, sugiere que las firmas financieras en el pa\u00eds insular probablemente sean un objetivo de BlueNoroff.<\/p>\n<p>La guerra cibern\u00e9tica ha sido un foco importante de Corea del Norte en respuesta a <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Sanctions_against_North_Korea\" target=\"_blank\">sanciones econ\u00f3micas<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/www.cfr.org\/backgrounder\/north-korea-sanctions-un-nuclear-weapons\" target=\"_blank\">impuso<\/a> por varios pa\u00edses y las Naciones Unidas debido a las preocupaciones sobre sus programas nucleares.  Tambi\u00e9n se ha convertido en una importante fuente de ingresos para el pa\u00eds con problemas de liquidez.<\/p>\n<p>De hecho, seg\u00fan el Servicio de Inteligencia Nacional (NIS) de Corea del Sur, se estima que los piratas inform\u00e1ticos norcoreanos patrocinados por el estado tienen <a rel=\"nofollow noopener\" href=\"https:\/\/apnews.com\/article\/technology-crime-business-hacking-south-korea-967763dc88e422232da54115bb13f4dc\" target=\"_blank\">robado $ 1.2 mil millones<\/a> en criptomonedas y otros activos digitales de objetivos de todo el mundo durante los \u00faltimos cinco a\u00f1os.<\/p>\n<p>&#8220;Este grupo tiene una fuerte motivaci\u00f3n financiera y, de hecho, logra obtener ganancias de sus ataques cibern\u00e9ticos&#8221;, dijo Park.  &#8220;Esto tambi\u00e9n sugiere que es poco probable que los ataques de este grupo disminuyan en un futuro pr\u00f3ximo&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/bluenoroff-apt-hackers-using-new-ways.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80227 de diciembre de 2022\ue804Ravie Lakshman\u00e1nAtaque cibern\u00e9tico \/ Seguridad de Windows azulnoroffun subcl\u00faster del notorio Lazarus Group, ha<\/p>\n","protected":false},"author":1,"featured_media":545653,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,26597,4661,135896,4664,11454,4662,7388,6214,4668,4667,36,121426,4654,4658,4659,4653,4655,2498,6213,4663,7110,4666,4665,10365,4660,20385],"class_list":["post-545652","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apt","tag-ataques-ciberneticos","tag-bluenoroff","tag-como-hackear","tag-eludir","tag-filtracion-de-datos","tag-formas","tag-informaticos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-motw","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevas","tag-piratas","tag-programa-malicioso-ransomware","tag-proteccion","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-utilizan","tag-vulnerabilidad-de-software","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/545652","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=545652"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/545652\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/545653"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=545652"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=545652"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=545652"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}