{"id":673535,"date":"2023-03-15T18:45:30","date_gmt":"2023-03-15T18:45:30","guid":{"rendered":"https:\/\/teknomers.com\/es\/marque-apt-dirigido-a-clientes-de-alto-valor-de-la-empresa-de-prevencion-de-perdida-de-datos-de-asia-oriental\/"},"modified":"2023-03-15T18:45:32","modified_gmt":"2023-03-15T18:45:32","slug":"marque-apt-dirigido-a-clientes-de-alto-valor-de-la-empresa-de-prevencion-de-perdida-de-datos-de-asia-oriental","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/marque-apt-dirigido-a-clientes-de-alto-valor-de-la-empresa-de-prevencion-de-perdida-de-datos-de-asia-oriental\/","title":{"rendered":"Marque APT dirigido a clientes de alto valor de la empresa de prevenci\u00f3n de p\u00e9rdida de datos de Asia oriental"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">15 de marzo de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Ataque cibern\u00e9tico \/ Seguridad de datos<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un actor de ciberespionaje conocido como Tick ha sido atribuido con gran confianza a un compromiso de una empresa de prevenci\u00f3n de p\u00e9rdida de datos (DLP) de Asia oriental que atiende a entidades gubernamentales y militares.<\/p>\n<p>\u201cLos atacantes comprometieron los servidores de actualizaci\u00f3n internos de la empresa DLP para entregar malware dentro de la red del desarrollador de software y troyanizaron a los instaladores de herramientas leg\u00edtimas utilizadas por la empresa, lo que eventualmente result\u00f3 en la ejecuci\u00f3n de malware en las computadoras de los clientes de la empresa\u201d, dijo Facundo, investigador de ESET. Mu\u00f1oz <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2023\/03\/14\/slow-ticking-time-bomb-tick-apt-group-dlp-software-developer-east-asia\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/actor\/tick\" target=\"_blank\">Garrapata<\/a>tambi\u00e9n conocido como mayordomo de bronce, <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/17\/k\/redbaldknight-bronze-butler-daserf-backdoor-now-using-steganography.html\" target=\"_blank\">CABALLERO ROJO<\/a>, Stalker Panda y Stalker Taurus, es un presunto colectivo alineado con China que ha perseguido principalmente empresas gubernamentales, manufactureras y biotecnol\u00f3gicas en Jap\u00f3n.  Se dice que est\u00e1 activo. <a rel=\"nofollow noopener\" href=\"https:\/\/community.broadcom.com\/symantecenterprise\/communities\/community-home\/librarydocuments\/viewdocument?DocumentKey=5da7ee8f-e251-4e14-acf5-693bdd61bde6\" target=\"_blank\">desde al menos 2006<\/a>.<\/p>\n<p>Otros objetivos menos conocidos incluyen empresas rusas, singapurenses y chinas.  Las cadenas de ataque orquestadas por el grupo generalmente han aprovechado los correos electr\u00f3nicos de phishing y <a rel=\"nofollow noopener\" href=\"https:\/\/www.secureworks.com\/research\/bronze-butler-targets-japanese-businesses\" target=\"_blank\">compromisos web estrat\u00e9gicos<\/a> como punto de entrada.<\/p>\n<p>A fines de febrero de 2021, Tick surgi\u00f3 como uno de los actores de amenazas para capitalizar las fallas de ProxyLogon en Microsoft Exchange Server como un d\u00eda cero para lanzar un <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/19\/k\/operation-endtrade-finding-multi-stage-backdoors-that-tick.html\" target=\"_blank\">puerta trasera basada en Delphi<\/a> en un servidor web perteneciente a una empresa de TI de Corea del Sur.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/03\/1678905930_672_Marque-APT-dirigido-a-clientes-de-alto-valor-de-la.png\" alt=\"Empresa de prevenci\u00f3n de p\u00e9rdida de datos\" border=\"0\" data-original-height=\"500\" data-original-width=\"728\" title=\"Empresa de prevenci\u00f3n de p\u00e9rdida de datos\"\/><\/div>\n<p>Casi al mismo tiempo, se cree que el colectivo adversario obtuvo acceso a la red de una empresa desarrolladora de software de Asia oriental a trav\u00e9s de medios desconocidos.  El nombre de la empresa no fue revelado.<\/p>\n<p>A esto le sigui\u00f3 la implementaci\u00f3n de una versi\u00f3n manipulada de una aplicaci\u00f3n leg\u00edtima llamada Q-Dir para eliminar una puerta trasera de VBScript de c\u00f3digo abierto llamada <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/bitsadmin\/revbshell\" target=\"_blank\">ReVBShell<\/a>adem\u00e1s de un descargador previamente no documentado llamado ShadowPy.<\/p>\n<p>ShadowPy, como su nombre lo indica, es un descargador de Python que se encarga de ejecutar un script de Python recuperado de un servidor remoto.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/03\/1678905930_665_Marque-APT-dirigido-a-clientes-de-alto-valor-de-la.png\" alt=\"Empresa de prevenci\u00f3n de p\u00e9rdida de datos\" border=\"0\" data-original-height=\"354\" data-original-width=\"728\" title=\"Empresa de prevenci\u00f3n de p\u00e9rdida de datos\"\/><\/div>\n<p>Tambi\u00e9n se entregaron durante la intrusi\u00f3n variantes de una puerta trasera de Delphi llamada <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/unit42-tick-group-continues-attacks\/\" target=\"_blank\">Netboy<\/a> (tambi\u00e9n conocido como Invader o Kickesgo) que viene con capacidades de recopilaci\u00f3n de informaci\u00f3n y shell inversa, as\u00ed como otro descargador con nombre en c\u00f3digo Ghostdown.<\/p>\n<div class=\"ad_two clear\" style=\"margin:0;background:#eef2fe;color:#160755;padding:0 20px;border:2px solid rgba(156,169,237,0.61);border-radius:5px\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background:#c4c7ff;display:inline-block;padding:3px 20px;border-radius:100px;letter-spacing:1.2px\">SEMINARIO WEB<\/span><\/p>\n<p>Descubra los peligros ocultos de las aplicaciones SaaS de terceros<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px\">\u00bfConoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa?  \u00danase a nuestro seminario web para conocer los tipos de permisos que se otorgan y c\u00f3mo minimizar el riesgo.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/webinar-inside\" target=\"_blank\" style=\"padding:12px 30px;border-radius:6px;background-color:#4a53af;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN:0 0 25px 0;float:left;font-weight:500\">RESERVA TU ASIENTO<\/a><\/div>\n<p>&#8220;Para mantener el acceso persistente, los atacantes implementaron DLL de carga maliciosa junto con aplicaciones firmadas leg\u00edtimas vulnerables al secuestro de orden de b\u00fasqueda de DLL&#8221;, dijo Mu\u00f1oz.  &#8220;El prop\u00f3sito de estas DLL es decodificar e inyectar una carga \u00fatil en un proceso designado&#8221;.<\/p>\n<p>Posteriormente, en febrero y junio de 2022, los instaladores Q-Dir troyanizados se transfirieron a trav\u00e9s de herramientas de soporte remoto como helpU y ANYSUPPORT a dos de los clientes de la empresa, una empresa de ingenier\u00eda y fabricaci\u00f3n ubicada en el este de Asia.<\/p>\n<p>La compa\u00f1\u00eda de ciberseguridad eslovaca dijo que el objetivo aqu\u00ed no era realizar un ataque a la cadena de suministro contra sus clientes intermedios, sino que el instalador deshonesto se us\u00f3 &#8220;sin saberlo&#8221; como parte de las actividades de soporte t\u00e9cnico.<\/p>\n<p>Es probable que el incidente tambi\u00e9n est\u00e9 relacionado con otro grupo no atribuido. <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/34010\/\" target=\"_blank\">detallado<\/a> por AhnLab en mayo de 2022 que involucr\u00f3 el uso de archivos de ayuda HTML compilada (.CHM) de Microsoft para colocar el implante ReVBShell. <\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/03\/tick-apt-targeted-high-value-customers.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80215 de marzo de 2023\ue804Ravie Lakshman\u00e1nAtaque cibern\u00e9tico \/ Seguridad de datos Un actor de ciberespionaje conocido como Tick<\/p>\n","protected":false},"author":1,"featured_media":673536,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,657,26597,14299,4661,5601,4664,1755,4671,2658,4662,4668,4667,82339,4654,4658,4659,4653,4655,6463,792,491,4663,4666,4665,896,4660],"class_list":["post-673535","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-alto","tag-apt","tag-asia","tag-ataques-ciberneticos","tag-clientes","tag-como-hackear","tag-datos","tag-dirigido","tag-empresa","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-marque","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-oriental","tag-perdida","tag-prevencion","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-valor","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/673535","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=673535"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/673535\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/673536"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=673535"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=673535"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=673535"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}