Un actor de amenazas persistentes avanzadas (APT) conocido como Aliento de drag\u00f3n<\/strong> se ha observado agregando nuevas capas de complejidad a sus ataques al adoptar una nueva Carga lateral de DLL<\/a> mecanismo.<\/p>\n “El ataque se basa en un ataque de carga lateral cl\u00e1sico, que consiste en una aplicaci\u00f3n limpia, un cargador malicioso y una carga \u00fatil cifrada, con varias modificaciones realizadas a estos componentes a lo largo del tiempo”, dijo el investigador de Sophos Gabor Szappanos. dicho<\/a>.<\/p>\n “Las \u00faltimas campa\u00f1as agregan un giro en el que una aplicaci\u00f3n limpia de primera etapa carga ‘lateralmente’ una segunda aplicaci\u00f3n limpia y la ejecuta autom\u00e1ticamente. La segunda aplicaci\u00f3n limpia carga lateralmente la DLL del cargador malicioso. Despu\u00e9s de eso, la DLL del cargador malicioso se ejecuta la carga \u00fatil final”.<\/p>\n La Operaci\u00f3n Dragon Breath, tambi\u00e9n rastreada bajo los nombres APT-Q-27 y Golden Eye, fue primero<\/a> documentado<\/a> por QiAnXin en 2020, que detalla una campa\u00f1a de abrevadero dise\u00f1ada para enga\u00f1ar a los usuarios para que descarguen un instalador de Windows troyanizado para Telegram.<\/p>\n A subsecuente<\/a> campa\u00f1a<\/a> detallado por la compa\u00f1\u00eda china de ciberseguridad en mayo de 2022 destac\u00f3 el uso continuo de los instaladores de Telegram como un se\u00f1uelo para implementar cargas \u00fatiles adicionales como gh0st RAT.<\/p>\n Tambi\u00e9n se dice que Dragon Breath es parte de una entidad m\u00e1s grande llamada Miuuti Group, con el adversario caracterizado como una entidad de “habla china” dirigida a las industrias de juegos y apuestas en l\u00ednea, uni\u00e9ndose a otros grupos de actividad chinos como Dragon Castling, Baile del drag\u00f3n<\/a>y Tierra Berberoka.<\/p>\n La estrategia de carga lateral de DLL de doble inmersi\u00f3n, seg\u00fan Sophos, se ha aprovechado en ataques dirigidos a usuarios en Filipinas, Jap\u00f3n, Taiw\u00e1n, Singapur, Hong Kong y China. Estos intentos de intrusi\u00f3n finalmente no tuvieron \u00e9xito.<\/p>\n El vector inicial es un sitio web falso que aloja un instalador de Telegram que, cuando se abre, crea un acceso directo en el escritorio que est\u00e1 dise\u00f1ado para cargar componentes maliciosos en segundo plano al iniciarse, al tiempo que muestra a la v\u00edctima la interfaz de usuario de la aplicaci\u00f3n Telegram.<\/p>\n Adem\u00e1s, se cree que el adversario cre\u00f3 m\u00faltiples variaciones del esquema en el que se utilizan instaladores manipulados para otras aplicaciones, como LetsVPN y WhatsApp, para iniciar la cadena de ataque.<\/p>\n Aprenda a detener el ransomware con protecci\u00f3n en tiempo real<\/p>\n \u00danase a nuestro seminario web y aprenda c\u00f3mo detener los ataques de ransomware en seco con MFA en tiempo real y protecci\u00f3n de cuenta de servicio.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1682966412_237_APT28-apunta-a-entidades-gubernamentales-ucranianas-con-falsificaciones-quotactualizacion-de.png\")
<\/a><\/center><\/div>\n![\"T\u00e9cnica](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEh11roo-PENFQPyB2LMhkW7t1ROmmn1L1F7SLd60U2LRHe7ofkgVgDe73c-M1eeJQ_OaCRNM3d4S5R6LdGnqlr0QAcGo3-ZbcW-5PBG5ny36jnr-4p6bdG--7O0urkrkWoujBC_2AhoZgfmVKBROUKkvV9-WdADz7x_TR2Y6xbOdBjg61S0Le8FGW4r\/s728-e3650\/hack.png\" "\\"T\u00e9cnica")
<\/div>\n