{"id":736082,"date":"2023-05-03T19:04:23","date_gmt":"2023-05-03T19:04:23","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-grupo-chino-de-piratas-informaticos-earth-longzhi-resurge-con-tacticas-avanzadas-de-malware\/"},"modified":"2023-05-03T19:04:26","modified_gmt":"2023-05-03T19:04:26","slug":"el-grupo-chino-de-piratas-informaticos-earth-longzhi-resurge-con-tacticas-avanzadas-de-malware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-grupo-chino-de-piratas-informaticos-earth-longzhi-resurge-con-tacticas-avanzadas-de-malware\/","title":{"rendered":"El grupo chino de piratas inform\u00e1ticos Earth Longzhi resurge con t\u00e1cticas avanzadas de malware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">03 de mayo de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Ciberespionaje \/ Malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un equipo de pirater\u00eda patrocinado por el estado chino ha resurgido con una nueva campa\u00f1a dirigida a entidades gubernamentales, de salud, tecnolog\u00eda y fabricaci\u00f3n con sede en Taiw\u00e1n, Tailandia, Filipinas y Fiji despu\u00e9s de m\u00e1s de seis meses sin actividad.<\/p>\n<p>Tendencia Micro <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/e\/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html\" target=\"_blank\">atribuido<\/a> la intrusi\u00f3n establecida en un grupo de ciberespionaje que rastrea bajo el nombre <strong>Tierra Longzhi<\/strong>que es un subgrupo dentro de APT41 (tambi\u00e9n conocido como HOODOO o Winnti) y comparte superposiciones con varios otros cl\u00fasteres conocidos como Earth Baku, SparklingGoblin y GroupCC.<\/p>\n<p>Earth Longzhi fue documentado por primera vez por la firma de ciberseguridad en noviembre de 2022, detallando sus ataques contra varias organizaciones ubicadas en el este y sureste de Asia, as\u00ed como en Ucrania.<\/p>\n<p>Las cadenas de ataque montadas por el actor de amenazas aprovechan las aplicaciones p\u00fablicas vulnerables como puntos de entrada para implementar el shell web BEHINDER y luego aprovechan ese acceso para soltar cargas \u00fatiles adicionales, incluida una nueva variante de un cargador Cobalt Strike llamado CroxLoader.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tr60percentstatic-inside-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1682966412_237_APT28-apunta-a-entidades-gubernamentales-ucranianas-con-falsificaciones-quotactualizacion-de.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Esta reciente campa\u00f1a [&#8230;] abusa de un ejecutable de Windows Defender para realizar la carga lateral de DLL al mismo tiempo que explota un controlador vulnerable, zamguard.sys, para deshabilitar los productos de seguridad instalados en los hosts a trav\u00e9s de un ataque BYOVD (traiga su propio controlador vulnerable), dijo Trend Micro.<\/p>\n<p>De ninguna manera es la primera vez que Earth Longzhi aprovecha la t\u00e9cnica BYOVD, ya que las campa\u00f1as anteriores utilizaron el controlador RTCore64.sys vulnerable para restringir la ejecuci\u00f3n de productos de seguridad.<\/p>\n<p>El malware, denominado SPHijacker, tambi\u00e9n emplea un segundo m\u00e9todo denominado &#8220;retumbo de pila&#8221; para lograr el mismo objetivo, que implica realizar cambios en el registro de Windows para interrumpir el flujo de ejecuci\u00f3n del proceso y provocar deliberadamente que las aplicaciones de destino se bloqueen al iniciarse.<\/p>\n<p>&#8220;Esta t\u00e9cnica es un tipo de [denial-of-service] ataque que abusa de los valores de MinimumStackCommitInBytes no documentados en el [<a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1546\/012\/\" target=\"_blank\">Image File Execution Options<\/a>] clave de registro&#8221;, explic\u00f3 Trend Micro.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1683140663_89_El-grupo-chino-de-piratas-informaticos-Earth-Longzhi-resurge-con.png\" alt=\"Grupo de hackers chinos\" border=\"0\" data-original-height=\"377\" data-original-width=\"727\" title=\"Grupo de hackers chinos\"\/><\/div>\n<p>&#8220;El valor de MinimalStackCommitInBytes asociado con un proceso espec\u00edfico en la clave de registro de IFEO se usar\u00e1 para definir el tama\u00f1o m\u00ednimo de la pila para confirmar al inicializar el subproceso principal. Si el tama\u00f1o de la pila es demasiado grande, activar\u00e1 una excepci\u00f3n de desbordamiento de la pila y terminar\u00e1 el proceso actual&#8221;.<\/p>\n<p>Los enfoques gemelos est\u00e1n lejos de ser los \u00fanicos m\u00e9todos que se pueden utilizar para perjudicar los productos de seguridad.  Deep Instinct, el mes pasado, detall\u00f3 una nueva t\u00e9cnica de inyecci\u00f3n de c\u00f3digo bautizada <a rel=\"nofollow noopener\" href=\"https:\/\/www.deepinstinct.com\/blog\/dirty-vanity-a-new-approach-to-code-injection-edr-bypass\" target=\"_blank\">vanidad sucia<\/a> que explota el mecanismo de bifurcaci\u00f3n remota en Windows para sistemas de detecci\u00f3n de puntos finales ciegos.<\/p>\n<p>Adem\u00e1s, la carga \u00fatil del controlador se instala como un servicio de nivel de kernel mediante la llamada de procedimiento remoto de Microsoft (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/rpc\/rpc-start-page\" target=\"_blank\">RPC<\/a>) a diferencia de las API de Windows para evadir la detecci\u00f3n.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>Aprenda a detener el ransomware con protecci\u00f3n en tiempo real<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">\u00danase a nuestro seminario web y aprenda c\u00f3mo detener los ataques de ransomware en seco con MFA en tiempo real y protecci\u00f3n de cuenta de servicio.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/silver-web-inside\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Guardar mi asiento!<\/a><\/div>\n<p>Tambi\u00e9n se observa en los ataques el uso de un cuentagotas basado en DLL llamado Roxwrapper para entregar otro cargador Cobalt Strike etiquetado como BigpipeLoader, as\u00ed como una herramienta de escalada de privilegios (dwm.exe) que abusa de Windows. <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/taskschd\/task-scheduler-start-page\" target=\"_blank\">Programador de tareas<\/a> para lanzar una carga \u00fatil determinada con privilegios de SISTEMA.<\/p>\n<p>La carga \u00fatil especificada, dllhost.exe, es un programa de descarga capaz de recuperar malware de pr\u00f3xima etapa de un servidor controlado por un actor.<\/p>\n<p>Vale la pena se\u00f1alar aqu\u00ed que dwm.exe se basa en una prueba de concepto (PoC) de c\u00f3digo abierto <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/zcgonvh\/TaskSchedulerMisc\/blob\/master\/schuac.cs\" target=\"_blank\">disponible en GitHub<\/a>lo que sugiere que el actor de amenazas se est\u00e1 inspirando en los programas existentes para perfeccionar su arsenal de malware.<\/p>\n<p>Trend Micro dijo adem\u00e1s que identific\u00f3 documentos se\u00f1uelo escritos en vietnamita e indonesio, lo que indica posibles intentos de dirigirse a usuarios en los dos pa\u00edses en el futuro.<\/p>\n<p>&#8220;Earth Longzhi permanece activo y contin\u00faa mejorando sus t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP)&#8221;, se\u00f1alaron los investigadores de seguridad Ted Lee y Hara Hiroaki.  &#8220;Las organizaciones deben mantenerse alerta contra el desarrollo continuo de nuevos esquemas sigilosos por parte de los ciberdelincuentes&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/chinese-hacker-group-earth-longzhi.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80203 de mayo de 2023\ue804Ravie Lakshman\u00e1nCiberespionaje \/ Malware Un equipo de pirater\u00eda patrocinado por el estado chino ha<\/p>\n","protected":false},"author":1,"featured_media":736083,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,54395,1100,4664,99,25237,4662,2386,6214,4668,4667,160474,4669,4654,4658,4659,4653,4655,6213,4663,55389,4666,4665,11334,4660],"class_list":["post-736082","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-avanzadas","tag-chino","tag-como-hackear","tag-con","tag-earth","tag-filtracion-de-datos","tag-grupo","tag-informaticos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-longzhi","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-piratas","tag-programa-malicioso-ransomware","tag-resurge","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-tacticas","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/736082","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=736082"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/736082\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/736083"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=736082"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=736082"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=736082"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}