El grupo de estado-naci\u00f3n chino denominado Tauro de aleaci\u00f3n<\/strong> est\u00e1 utilizando una variante de Linux de una puerta trasera llamada PingPull, as\u00ed como una nueva herramienta no documentada con nombre en c\u00f3digo Sword2033.<\/p>\n Eso es seg\u00fan los hallazgos de la Unidad 42 de Palo Alto Networks, que descubierto<\/a> actividad cibern\u00e9tica maliciosa reciente llevada a cabo por el grupo contra Sud\u00e1frica y Nepal.<\/p>\n Alloy Taurus es el apodo con el tema de la constelaci\u00f3n asignado a un actor de amenazas que es conocido por sus ataques dirigidos a empresas de telecomunicaciones desde al menos 2012. Microsoft tambi\u00e9n lo rastrea como Granite Typhoon (anteriormente Gallium).<\/p>\n El mes pasado, el adversario se atribuy\u00f3 a una campa\u00f1a llamada Tainted Love dirigida a proveedores de telecomunicaciones en el Medio Oriente como parte de una operaci\u00f3n m\u00e1s amplia conocida como Soft Cell.<\/p>\n Los recientes ataques de ciberespionaje montados por Alloy Taurus tambi\u00e9n han ampliado su huella de victimolog\u00eda para incluir instituciones financieras y entidades gubernamentales.<\/p>\n PingPull, documentado por primera vez por la Unidad 42 en junio de 2022, es un troyano de acceso remoto que emplea el Protocolo de mensajes de control de Internet (ICMP) para las comunicaciones de comando y control (C2).<\/p>\n El sabor de Linux del malware cuenta con funcionalidades similares a las de su contraparte de Windows, lo que le permite realizar operaciones de archivo y ejecutar comandos arbitrarios al transmitir desde el servidor C2 un solo car\u00e1cter en may\u00fascula entre A y K, y M.<\/p>\n “Al ejecutarse, esta muestra se configura para comunicarse con el dominio yrhsywu2009.zapto[.]org a trav\u00e9s del puerto 8443 para C2\u201d, dijo Unit 42. \u201cUtiliza una biblioteca OpenSSL (OpenSSL 0.9.8e) vinculada est\u00e1ticamente para interactuar con el dominio a trav\u00e9s de HTTPS\u201d.<\/p>\n Curiosamente, el an\u00e1lisis de PingPull de las instrucciones C2 refleja el del Helic\u00f3ptero chino<\/a>a caparaz\u00f3n web<\/a> ampliamente utilizado por los actores de amenazas chinos, lo que sugiere que el actor de amenazas est\u00e1 reutilizando el c\u00f3digo fuente existente para dise\u00f1ar herramientas personalizadas.<\/p>\n Un examen m\u00e1s detallado del dominio antes mencionado tambi\u00e9n revel\u00f3 la existencia de otro artefacto ELF (es decir, Sword2033) que admite tres funciones b\u00e1sicas, incluida la carga y extracci\u00f3n de archivos y la ejecuci\u00f3n de comandos.<\/p>\n Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n Guardar mi asiento!<\/a><\/div>\n Los enlaces del malware a Alloy Taurus se derivan del hecho de que el dominio se resolvi\u00f3 en una direcci\u00f3n IP que se identific\u00f3 previamente como un indicador activo de compromiso (IoC) asociado con una campa\u00f1a anterior dirigida a empresas que operan en el sudeste asi\u00e1tico, Europa y \u00c1frica.<\/p>\n El objetivo de Sud\u00e1frica, seg\u00fan la compa\u00f1\u00eda de seguridad cibern\u00e9tica, se produce en el contexto de que el pa\u00eds tiene un ejercicio naval conjunto de 10 d\u00edas<\/a> con Rusia y China a principios de este a\u00f1o.<\/p>\n “Alloy Taurus sigue siendo una amenaza activa para las organizaciones gubernamentales, financieras y de telecomunicaciones en el sudeste asi\u00e1tico, Europa y \u00c1frica”, dijo Unit 42.<\/p>\n “La identificaci\u00f3n de una variante de Linux del malware PingPull, as\u00ed como el uso reciente de la puerta trasera Sword2033, sugiere que el grupo contin\u00faa evolucionando sus operaciones en apoyo de sus actividades de espionaje”.<\/p>\n <\/p>\n![\"PingPull](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/1682533114_574_Piratas-informaticos-chinos-detectados-usando-una-variante-de-Linux-de.png\" "\\"PingPull")
<\/div>\n