{"id":661547,"date":"2023-03-08T15:34:40","date_gmt":"2023-03-08T15:34:40","guid":{"rendered":"https:\/\/teknomers.com\/es\/lazarus-group-aprovecha-vulnerabilidad-de-dia-cero-para-hackear-entidad-financiera-de-corea-del-sur\/"},"modified":"2023-03-08T15:34:42","modified_gmt":"2023-03-08T15:34:42","slug":"lazarus-group-aprovecha-vulnerabilidad-de-dia-cero-para-hackear-entidad-financiera-de-corea-del-sur","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/lazarus-group-aprovecha-vulnerabilidad-de-dia-cero-para-hackear-entidad-financiera-de-corea-del-sur\/","title":{"rendered":"Lazarus Group aprovecha vulnerabilidad de d\u00eda cero para hackear entidad financiera de Corea del Sur"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>08 de marzo de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Ataque de d\u00eda cero\/BYOVD<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

La ligada a Corea del Norte Grupo L\u00e1zaro<\/strong> Se ha observado que utiliza fallas como arma en un software no revelado para violar una entidad comercial financiera en Corea del Sur dos veces en el lapso de un a\u00f1o.<\/p>\n

Si bien el primer ataque en mayo de 2022 implic\u00f3 el uso de una versi\u00f3n vulnerable de un software de certificado que es ampliamente utilizado por instituciones p\u00fablicas y universidades, la reinfiltraci\u00f3n en octubre de 2022 implic\u00f3 la explotaci\u00f3n de un d\u00eda cero en el mismo programa.<\/p>\n

Firma de ciberseguridad AhnLab Security Emergency Response Center (ASEC) dicho<\/a> se abstiene de mencionar el software debido al hecho de que “la vulnerabilidad a\u00fan no se ha verificado por completo y no se ha lanzado un parche de software”.<\/p>\n

El colectivo adversario, despu\u00e9s de obtener un punto de apoyo inicial por un m\u00e9todo desconocido, abus\u00f3 del error de d\u00eda cero para realizar un movimiento lateral, poco despu\u00e9s de lo cual el motor antimalware AhnLab V3 se desactiv\u00f3 mediante un ataque BYOVD.<\/p>\n

Vale la pena se\u00f1alar aqu\u00ed que la t\u00e9cnica Bring Your Own Vulnerable Driver, tambi\u00e9n conocida como BYOVD, ha sido empleada repetidamente por Lazarus Group en los \u00faltimos meses, como lo documentaron tanto ESET como AhnLab en una serie de informes a fines del a\u00f1o pasado.<\/p>\n

\"Vulnerabilidad<\/div>\n

Entre otros pasos para ocultar su comportamiento malicioso, se incluyen cambiar los nombres de los archivos antes de eliminarlos y modificar las marcas de tiempo mediante una t\u00e9cnica antiforense conocida como marcando el tiempo<\/a>.<\/p>\n

El ataque finalmente allan\u00f3 el camino para m\u00faltiples cargas \u00fatiles de puerta trasera (Keys.dat y Settings.vwx) que est\u00e1n dise\u00f1adas para conectarse a un servidor remoto de comando y control (C2) y recuperar archivos binarios adicionales y ejecutarlos sin archivos.<\/p>\n

SEMINARIO WEB<\/span><\/p>\n

Descubra los peligros ocultos de las aplicaciones SaaS de terceros<\/p>\n

\u00bfConoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? \u00danase a nuestro seminario web para conocer los tipos de permisos que se otorgan y c\u00f3mo minimizar el riesgo.<\/p>\n

RESERVA TU ASIENTO<\/a><\/div>\n

El desarrollo se produce una semana despu\u00e9s de que ESET arrojara luz sobre un nuevo implante llamado WinorDLL64 que implementa el notorio actor de amenazas por medio de un cargador de malware llamado Wslink.<\/p>\n

“El grupo Lazarus est\u00e1 investigando las vulnerabilidades de varios otros programas y est\u00e1 cambiando constantemente sus TTP alterando la forma en que desactivan los productos de seguridad y llevan a cabo t\u00e9cnicas antiforenses para interferir o retrasar la detecci\u00f3n y el an\u00e1lisis con el fin de infiltrarse en las instituciones y empresas coreanas”. dijo ASEC.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n