{"id":713789,"date":"2023-04-20T11:40:10","date_gmt":"2023-04-20T11:40:10","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-campana-de-ciberataque-daggerfly-golpea-a-los-proveedores-de-servicios-de-telecomunicaciones-africanos\/"},"modified":"2023-04-20T11:40:13","modified_gmt":"2023-04-20T11:40:13","slug":"la-campana-de-ciberataque-daggerfly-golpea-a-los-proveedores-de-servicios-de-telecomunicaciones-africanos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-campana-de-ciberataque-daggerfly-golpea-a-los-proveedores-de-servicios-de-telecomunicaciones-africanos\/","title":{"rendered":"La campa\u00f1a de ciberataque Daggerfly golpea a los proveedores de servicios de telecomunicaciones africanos"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>20 de abril de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Ataque cibern\u00e9tico\/malware<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Los proveedores de servicios de telecomunicaciones en \u00c1frica son el objetivo de una nueva campa\u00f1a orquestada por un actor de amenazas vinculado a China al menos desde noviembre de 2022.<\/p>\n

Las intrusiones han sido atribuidas a un equipo de hackers rastreado por Symantec como daga<\/strong>y que tambi\u00e9n es rastreado por la comunidad de ciberseguridad m\u00e1s amplia como Bronze Highland y Evasive Panda.<\/p>\n

La campa\u00f1a hace uso de “complementos nunca antes vistos del marco de malware MgBot”, la compa\u00f1\u00eda de seguridad cibern\u00e9tica dicho<\/a> en un informe compartido con The Hacker News. “Tambi\u00e9n se vio a los atacantes usando un cargador PlugX y abusando del software leg\u00edtimo de escritorio remoto AnyDesk”.<\/p>\n

El uso de Daggerfly de la cargador MgBot<\/a> (tambi\u00e9n conocido como BLame o MgmBot) fue destacado<\/a> por Malwarebytes en julio de 2020 como parte de los ataques de phishing dirigidos al personal del gobierno indio y a personas en Hong Kong.<\/p>\n

De acuerdo a Trabajos seguros<\/a>el actor de amenazas utiliza el phishing selectivo como vector de infecci\u00f3n inicial para eliminar MgBot, as\u00ed como otras herramientas como Cobalt Strike y un troyano de acceso remoto (RAT) de Android llamado KsRemote.<\/p>\n

Se sospecha que el grupo lleva a cabo actividades de espionaje contra los defensores nacionales de los derechos humanos y la democracia y las naciones vecinas de China desde 2014.<\/p>\n

Las cadenas de ataque analizadas por Symantec muestran el uso de herramientas de vivir de la tierra (LotL)<\/a> como BITSAdmin<\/a> y Potencia Shell<\/a> para entregar cargas \u00fatiles de pr\u00f3xima etapa, incluido un ejecutable leg\u00edtimo de AnyDesk y una utilidad de recolecci\u00f3n de credenciales.<\/p>\n

Posteriormente, el actor de amenazas se mueve para configurar la persistencia en el sistema de la v\u00edctima mediante la creaci\u00f3n de una cuenta local e implementa el marco modular MgBot, que viene con una amplia gama de complementos para recopilar datos del navegador, registrar pulsaciones de teclas, capturar capturas de pantalla, grabar audio y enumerar el Servicio de directorio activo.<\/p>\n

PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n

Defi\u00e9ndase con el enga\u00f1o: avanzando en la seguridad de confianza cero<\/p>\n

Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n

Guardar mi asiento!<\/a><\/div>\n

“Todas estas capacidades habr\u00edan permitido a los atacantes recopilar una cantidad significativa de informaci\u00f3n de las m\u00e1quinas de las v\u00edctimas”, dijo Symantec. “Las capacidades de estos complementos tambi\u00e9n muestran que el objetivo principal de los atacantes durante esta campa\u00f1a fue la recopilaci\u00f3n de informaci\u00f3n”.<\/p>\n

La naturaleza integral de MgBot indica que los operadores lo mantienen y actualizan activamente para obtener acceso a los entornos de las v\u00edctimas.<\/p>\n

La divulgaci\u00f3n llega casi un mes despu\u00e9s de que SentinelOne detallara una campa\u00f1a llamada Tainted Love en el primer trimestre de 2023 dirigida a los proveedores de telecomunicaciones en el Medio Oriente. Se atribuy\u00f3 a un grupo de ciberespionaje chino que comparte superposiciones con Gallium (tambi\u00e9n conocido como Othorene).<\/p>\n

Symantec dijo adem\u00e1s que identific\u00f3 tres v\u00edctimas adicionales del mismo grupo de actividad que se encuentran en Asia y \u00c1frica. Dos de las v\u00edctimas, que fueron violadas en noviembre de 2022, son subsidiarias de una empresa de telecomunicaciones en la regi\u00f3n de Medio Oriente.<\/p>\n

“Las empresas de telecomunicaciones siempre ser\u00e1n un objetivo clave en las campa\u00f1as de recopilaci\u00f3n de inteligencia debido al acceso que pueden brindar potencialmente a las comunicaciones de los usuarios finales”, dijo Symantec.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n