Se ha observado que una amenaza persistente china avanzada rastreada como Deep Panda explota la vulnerabilidad Log4Shell en los servidores VMware Horizon para implementar una puerta trasera y un novedoso rootkit en m\u00e1quinas infectadas con el objetivo de robar datos confidenciales.<\/p>\n
“La naturaleza de la focalizaci\u00f3n fue oportunista en la medida en que ocurrieron m\u00faltiples infecciones en varios pa\u00edses y varios sectores en las mismas fechas”. dijo<\/a> Rotem Sde-Or y Eliran Voronovitch, investigadores de FortiGuard Labs de Fortinet, en un informe publicado esta semana. “Las v\u00edctimas pertenecen a las industrias financiera, acad\u00e9mica, cosm\u00e9tica y de viajes”.<\/p>\n Panda profundo<\/a>tambi\u00e9n conocido por los apodos Shell Crew, KungFu Kittens y Bronze Firestone, se dice que ha estado activo desde al menos 2010, con ataques recientes “dirigidos a firmas legales para la exfiltraci\u00f3n de datos y proveedores de tecnolog\u00eda para la construcci\u00f3n de infraestructura de comando y control”. seg\u00fan<\/a> a Secureworks.<\/p>\n La firma de seguridad cibern\u00e9tica CrowdStrike, que asign\u00f3 el nombre de panda al grupo en julio de 2014, llamado<\/a> es “uno de los grupos de intrusi\u00f3n cibern\u00e9tica de estado naci\u00f3n chino m\u00e1s avanzados”.<\/p>\n El \u00faltimo conjunto de ataques documentado por Fortinet muestra que el procedimiento de infecci\u00f3n involucr\u00f3 la explotaci\u00f3n de la falla de ejecuci\u00f3n remota de c\u00f3digo Log4j (tambi\u00e9n conocida como Log4Shell) en servidores VMware Horizon vulnerables para generar una cadena de etapas intermedias, lo que finalmente condujo al despliegue de una puerta trasera denominada Milestone. (“1.dll”).<\/p>\n Basado en el c\u00f3digo fuente filtrado del infame rata fantasma<\/a> pero con notables diferencias en el mecanismo de comunicaci\u00f3n de comando y control (C2) empleado, Milestone tambi\u00e9n est\u00e1 dise\u00f1ado para enviar informaci\u00f3n sobre las sesiones actuales en el sistema al servidor remoto.<\/p>\n Durante los ataques tambi\u00e9n se detect\u00f3 un rootkit de kernel llamado “Fire Chili” que est\u00e1 firmado digitalmente con certificados robados de compa\u00f1\u00edas de desarrollo de juegos, lo que le permite evadir la detecci\u00f3n por parte del software de seguridad y ocultar operaciones de archivos maliciosos, procesos, adiciones de claves de registro y conexiones de red.<\/p>\n Esto se logra por medio de ioctl<\/a> (control de entrada\/salida) llamadas al sistema para ocultar la clave de registro del rootkit del controlador, los archivos de puerta trasera de Milestone y el archivo y el proceso de carga utilizados para iniciar el implante.<\/p>\n La atribuci\u00f3n de Fortinet a Deep Panda surge de las superposiciones entre Milestone e Infoadmin RAT, un troyano de acceso remoto utilizado por el sofisticado colectivo de piratas inform\u00e1ticos a principios de la d\u00e9cada de 2010, con pistas adicionales que apuntan a similitudes t\u00e1cticas con las del grupo Winnti.<\/p>\n Esto est\u00e1 respaldado por el uso de firmas digitales comprometidas pertenecientes a empresas de juegos, un objetivo elegido por Winnti, as\u00ed como un dominio C2 (gnisoft[.]com), que ha sido previamente vinculado<\/a> al actor patrocinado por el estado chino a partir de mayo de 2020.<\/p>\n “La raz\u00f3n por la que estas herramientas est\u00e1n vinculadas a dos grupos diferentes no est\u00e1 clara en este momento”, dijeron los investigadores. “Es posible que los desarrolladores de los grupos compartieran recursos, como certificados robados e infraestructura C2, entre ellos. Esto puede explicar por qu\u00e9 las muestras solo se firmaron varias horas despu\u00e9s de compilarse”.<\/p>\n La divulgaci\u00f3n se suma a una larga lista de grupos de pirater\u00eda que han armado la vulnerabilidad Log4Shell para atacar la plataforma de virtualizaci\u00f3n de VMware.<\/p>\n En diciembre de 2021, CrowdStrike describi\u00f3 una campa\u00f1a fallida realizada por un adversario denominado Aquatic Panda que aprovech\u00f3 la falla para realizar varias operaciones posteriores a la explotaci\u00f3n, incluido el reconocimiento y la recolecci\u00f3n de credenciales en sistemas espec\u00edficos.<\/p>\n Desde entonces, varios grupos se han unido a la refriega, incluido el grupo iran\u00ed TunnelVision, que se observ\u00f3 explotando activamente el defecto de la biblioteca de registro de Log4j para comprometer los servidores VMware Horizon sin parches con ransomware.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/El-malware-bancario-para-Android-TeaBot-se-propaga-de-nuevo.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1648842790_41_Los-piratas-informaticos-chinos-apuntan-a-los-servidores-VMware-Horizon.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1647430291_958_El-gobierno-aleman-advierte-contra-el-uso-del-software-antivirus.jpeg\")
<\/a><\/div>\n