{"id":590311,"date":"2023-01-24T15:30:33","date_gmt":"2023-01-24T15:30:33","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-chinos-utilizan-el-malware-golang-en-los-ataques-dragonspark-para-evadir-la-deteccion\/"},"modified":"2023-01-24T15:30:36","modified_gmt":"2023-01-24T15:30:36","slug":"los-piratas-informaticos-chinos-utilizan-el-malware-golang-en-los-ataques-dragonspark-para-evadir-la-deteccion","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-chinos-utilizan-el-malware-golang-en-los-ataques-dragonspark-para-evadir-la-deteccion\/","title":{"rendered":"Los piratas inform\u00e1ticos chinos utilizan el malware Golang en los ataques DragonSpark para evadir la detecci\u00f3n"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>24 de enero de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Ciberespionaje \/ Golang<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Las organizaciones en el este de Asia est\u00e1n siendo atacadas por un probable actor de habla china apodado drag\u00f3nchispa<\/strong> mientras emplea t\u00e1cticas poco comunes para pasar las capas de seguridad.<\/p>\n

“Los ataques se caracterizan por el uso de SparkRAT de c\u00f3digo abierto poco conocido y malware que intenta evadir la detecci\u00f3n a trav\u00e9s de la interpretaci\u00f3n del c\u00f3digo fuente de Golang”, SentinelOne dicho<\/a> en un an\u00e1lisis publicado hoy.<\/p>\n

Un aspecto sorprendente de las intrusiones es el uso constante de SparkRAT para realizar una variedad de actividades, incluido el robo de informaci\u00f3n, obtener el control de un host infectado o ejecutar instrucciones adicionales de PowerShell.<\/p>\n

Los objetivos finales del actor de amenazas a\u00fan se desconocen, aunque es probable que el motivo sea el espionaje o el delito cibern\u00e9tico. Los lazos de DragonSpark con China se derivan del uso del shell web de China Chopper para implementar malware, una v\u00eda de ataque ampliamente utilizada entre los actores de amenazas chinos.<\/p>\n

Adem\u00e1s, las herramientas de c\u00f3digo abierto utilizadas en los ataques cibern\u00e9ticos no solo provienen de desarrolladores o empresas con v\u00ednculos con China, sino que la infraestructura para organizar las cargas \u00fatiles se encuentra en Taiw\u00e1n, Hong Kong, China y Singapur, algunas de las cuales pertenecen a empresas leg\u00edtimas. .<\/p>\n

Los servidores de comando y control (C2), por otro lado, est\u00e1n ubicados en Hong Kong y EE. UU., dijo la firma de ciberseguridad.<\/p>\n

\"Malware<\/div>\n

Las v\u00edas de acceso iniciales implican comprometer los servidores web expuestos a Internet y los servidores de bases de datos MySQL para eliminar el shell web de China Chopper. Luego, se aprovecha el punto de apoyo para llevar a cabo el movimiento lateral, la escalada de privilegios y la implementaci\u00f3n de malware utilizando herramientas de c\u00f3digo abierto como SharpToken<\/a>, patata mala<\/a>y Ir a HTTP<\/a>.<\/p>\n

Tambi\u00e9n se entregan a los hosts malware personalizado capaz de ejecutar c\u00f3digo arbitrario y SparkRAT<\/a>un troyano de acceso remoto multiplataforma que puede ejecutar comandos del sistema, manipular archivos y procesos, y desviar informaci\u00f3n de inter\u00e9s. <\/p>\n

Otro malware importante es el m6699.exe basado en Golang, que interpreta en tiempo de ejecuci\u00f3n el c\u00f3digo fuente que contiene para pasar desapercibido y lanzar un cargador de shellcode que est\u00e1 dise\u00f1ado para comunicarse con el servidor C2 para obtener y ejecutar la siguiente etapa. c\u00f3digo de shell.<\/p>\n

“Se sabe que los actores de amenazas de habla china utilizan con frecuencia software de c\u00f3digo abierto en campa\u00f1as maliciosas”, concluyeron los investigadores.<\/p>\n

“Dado que SparkRAT es una herramienta multiplataforma y rica en funciones, y se actualiza peri\u00f3dicamente con nuevas funciones, estimamos que la RAT seguir\u00e1 siendo atractiva para los ciberdelincuentes y otros actores de amenazas en el futuro”.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n