{"id":727500,"date":"2023-04-28T08:47:17","date_gmt":"2023-04-28T08:47:17","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-equipo-de-tonto-utiliza-un-archivo-antimalware-para-lanzar-ataques-contra-instituciones-de-corea-del-sur\/"},"modified":"2023-04-28T08:47:20","modified_gmt":"2023-04-28T08:47:20","slug":"el-equipo-de-tonto-utiliza-un-archivo-antimalware-para-lanzar-ataques-contra-instituciones-de-corea-del-sur","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-equipo-de-tonto-utiliza-un-archivo-antimalware-para-lanzar-ataques-contra-instituciones-de-corea-del-sur\/","title":{"rendered":"El equipo de Tonto utiliza un archivo antimalware para lanzar ataques contra instituciones de Corea del Sur"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>28 de abril de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Malware \/ Ciberamenaza<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Las instituciones educativas, de construcci\u00f3n, diplom\u00e1ticas y pol\u00edticas de Corea del Sur est\u00e1n en el extremo receptor de nuevos ataques perpetrados por un actor de amenazas alineado con China conocido como el Equipo Tonto<\/strong>.<\/p>\n

“Casos recientes han revelado que el grupo est\u00e1 utilizando un archivo relacionado con productos antimalware para ejecutar en \u00faltima instancia sus ataques maliciosos”, dijo el Centro de Respuesta a Emergencias de Seguridad AhnLab (ASEC) dicho<\/a> en un informe publicado esta semana.<\/p>\n

Tonto Team, activo desde al menos 2009, tiene un historial de apuntar a varios sectores en Asia y Europa del Este. A principios de este a\u00f1o, se atribuy\u00f3 al grupo a un ataque de phishing fallido contra la empresa de ciberseguridad Group-IB.<\/p>\n

La secuencia de ataque descubierta por ASEC comienza con un archivo de ayuda HTML compilado (.CHM) de Microsoft que ejecuta un archivo binario para descargar un archivo DLL malicioso (slc.dll) y ejecutar ReVBShell<\/a>una puerta trasera VBScript de c\u00f3digo abierto tambi\u00e9n utilizada por otro actor de amenazas chino llamado Tick.<\/p>\n

Posteriormente, ReVBShell se aprovecha para descargar un segundo ejecutable, un archivo de configuraci\u00f3n de software leg\u00edtimo de Avast (wsc_proxy.exe), para descargar una segunda DLL no autorizada (wsc.dll), lo que en \u00faltima instancia conduce a la implementaci\u00f3n de la bisonal<\/a> troyano de acceso remoto.<\/p>\n

“El Equipo Tonto est\u00e1 en constante evoluci\u00f3n a trav\u00e9s de varios medios, como el uso de software normal para ataques m\u00e1s elaborados”, dijo ASEC.<\/p>\n

PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n

Aprenda a detener el ransomware con protecci\u00f3n en tiempo real<\/p>\n

\u00danase a nuestro seminario web y aprenda c\u00f3mo detener los ataques de ransomware en seco con MFA en tiempo real y protecci\u00f3n de cuenta de servicio.<\/p>\n

Guardar mi asiento!<\/a><\/div>\n

El uso de archivos CHM como vector de distribuci\u00f3n de malware no se limita solo a los actores de amenazas chinos. Cadenas de ataque similares han sido adoptadas por un grupo de estado-naci\u00f3n de Corea del Norte conocido como ScarCruft en ataques<\/a> dirigido a su contraparte del sur de hosts dirigidos de puerta trasera.<\/p>\n

El adversario, tambi\u00e9n conocido como APT37, Reaper y Ricochet Chollima, desde entonces tambi\u00e9n ha utilizado Archivos LNK para distribuir el malware RokRAT<\/a>que es capaz de recopilar credenciales de usuario y descargar cargas \u00fatiles adicionales.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n