{"id":613203,"date":"2023-02-07T14:40:33","date_gmt":"2023-02-07T14:40:33","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-aprovechan-las-vulnerabilidades-en-sunlogin-para-implementar-el-marco-sliver-c2\/"},"modified":"2023-02-07T14:40:33","modified_gmt":"2023-02-07T14:40:33","slug":"los-piratas-informaticos-aprovechan-las-vulnerabilidades-en-sunlogin-para-implementar-el-marco-sliver-c2","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-aprovechan-las-vulnerabilidades-en-sunlogin-para-implementar-el-marco-sliver-c2\/","title":{"rendered":"Los piratas inform\u00e1ticos aprovechan las vulnerabilidades en Sunlogin para implementar el marco Sliver C2"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>07 de febrero de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Amenaza Cibern\u00e9tica \/ Malware<\/span><\/p>\n<\/div>\n

\n
\"Marco<\/div>\n

Los actores de amenazas est\u00e1n aprovechando fallas conocidas en el software Sunlogin para implementar el marco de comando y control (C2) de Sliver para llevar a cabo actividades posteriores a la explotaci\u00f3n.<\/p>\n

Los hallazgos provienen del Centro de respuesta a emergencias de seguridad AhnLab (ASEC), que descubri\u00f3 que las vulnerabilidades de seguridad en Sunlogin, un programa de escritorio remoto desarrollado en China, est\u00e1n siendo abusadas para implementar una amplia gama de cargas \u00fatiles.<\/p>\n

“Los actores de amenazas no solo usaron la puerta trasera Sliver, sino que tambi\u00e9n usaron el malware BYOVD (Bring Your Own Vulnerable Driver) para incapacitar a los productos de seguridad e instalar shells inversos”, dijeron los investigadores. dicho<\/a>.<\/p>\n

Las cadenas de ataque comienzan con la explotaci\u00f3n de dos errores de ejecuci\u00f3n remota de c\u00f3digo en las versiones de Sunlogin anteriores a la v11.0.0.33 (CNVD-2022-03672 y CNVD-2022-10270), seguido de la entrega de Sliver u otro malware como rata fantasma<\/a> y el minero de criptomonedas XMRig.<\/p>\n

En un caso, se dice que el actor de amenazas utiliz\u00f3 las fallas de Sunlogin como arma para instalar un script de PowerShell que, a su vez, emplea la t\u00e9cnica BYOVD para incapacitar el software de seguridad instalado en el sistema y lanzar un shell inverso usando Powercat.<\/p>\n

El m\u00e9todo BYOVD abusa de un controlador de Windows leg\u00edtimo pero vulnerable, mhyprot2.sys, que est\u00e1 firmado con un certificado v\u00e1lido para obtener permisos elevados y finalizar los procesos antivirus.<\/p>\n

\"\"<\/div>\n

Vale la pena se\u00f1alar aqu\u00ed que el controlador antitrampas para el videojuego Genshin Impact se utiliz\u00f3 anteriormente como precursor de la implementaci\u00f3n de ransomware, seg\u00fan lo revelado por Trend Micro.<\/p>\n

“No est\u00e1 confirmado si lo hizo el mismo actor de amenazas, pero despu\u00e9s de unas horas, un registro muestra que se instal\u00f3 una puerta trasera Sliver en el mismo sistema a trav\u00e9s de una explotaci\u00f3n de vulnerabilidad Sunlogin RCE”, dijeron los investigadores.<\/p>\n

Los hallazgos se producen cuando los actores de amenazas est\u00e1n adoptando Sliver, una herramienta de prueba de penetraci\u00f3n leg\u00edtima basada en Go, como alternativa a Cobalt Strike y Metasploit.<\/p>\n

“Sliver ofrece las caracter\u00edsticas necesarias paso a paso, como el robo de informaci\u00f3n de cuenta, el movimiento de la red interna y la superaci\u00f3n de la red interna de las empresas, al igual que Cobalt Strike”, concluyeron los investigadores.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n