{"id":576919,"date":"2023-01-16T11:15:31","date_gmt":"2023-01-16T11:15:31","guid":{"rendered":"https:\/\/teknomers.com\/es\/nueva-puerta-trasera-creada-usando-el-malware-hive-de-la-cia-filtrado-descubierto-en-la-naturaleza\/"},"modified":"2023-01-16T11:15:33","modified_gmt":"2023-01-16T11:15:33","slug":"nueva-puerta-trasera-creada-usando-el-malware-hive-de-la-cia-filtrado-descubierto-en-la-naturaleza","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nueva-puerta-trasera-creada-usando-el-malware-hive-de-la-cia-filtrado-descubierto-en-la-naturaleza\/","title":{"rendered":"Nueva puerta trasera creada usando el malware Hive de la CIA filtrado descubierto en la naturaleza"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>16 de enero de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Panorama de amenazas\/malware<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Actores de amenazas no identificados han desplegado una nueva puerta trasera que toma prestadas sus caracter\u00edsticas de la Agencia Central de Inteligencia de EE. UU. (CIA) Colmena<\/a> multiplataforma paquete de malware<\/a>cuyo c\u00f3digo fuente fue publicado por WikiLeaks en noviembre de 2017.<\/p>\n

“Esta es la primera vez que capturamos una variante del kit de ataque Hive de la CIA en la naturaleza, y lo llamamos xdr33<\/strong> basado en su certificado Bot-side integrado CN=xdr33″, Alex Turing y Hui Wang de Qihoo Netlab 360 dicho<\/a> en un art\u00edculo t\u00e9cnico publicado la semana pasada.<\/p>\n

Se dice que xdr33 se propaga al explotar una vulnerabilidad de seguridad en el dispositivo F5 y al comunicarse con un servidor de comando y control (C2) mediante SSL con certificados de Kaspersky falsificados.<\/p>\n

La intenci\u00f3n de la puerta trasera, seg\u00fan la firma china de ciberseguridad, es recopilar informaci\u00f3n confidencial y actuar como plataforma de lanzamiento para intrusiones posteriores. Mejora a Hive al agregar nuevas instrucciones y funcionalidades C2, entre otros cambios de implementaci\u00f3n.<\/p>\n

\u00c9l DUENDE<\/a> sample funciona adem\u00e1s como una baliza extrayendo peri\u00f3dicamente metadatos del sistema al servidor remoto y ejecutando comandos emitidos por el C2.<\/p>\n

\"Malware<\/div>\n
\"Malware<\/div>\n

Esto incluye la capacidad de descargar y cargar archivos arbitrarios, ejecutar comandos usando cmd e iniciar shell, adem\u00e1s de actualizar y borrar rastros de s\u00ed mismo del host comprometido.<\/p>\n

El malware tambi\u00e9n incorpora un m\u00f3dulo Trigger que est\u00e1 dise\u00f1ado para espiar el tr\u00e1fico de la red en busca de un paquete “trigger” espec\u00edfico para extraer el servidor C2 mencionado en la carga \u00fatil del paquete IP, establecer la conexi\u00f3n y esperar la ejecuci\u00f3n de los comandos emitidos por el C2.<\/p>\n

“Vale la pena se\u00f1alar que Trigger C2 se diferencia de Beacon C2 en los detalles de la comunicaci\u00f3n; despu\u00e9s de establecer un t\u00fanel SSL, [the] bot y Trigger C2 usan un Intercambio de claves Diffie-Hellman<\/a> para establecer una clave compartida, que se utiliza en el algoritmo AES para crear una segunda capa de cifrado”, explicaron los investigadores.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n