{"id":745300,"date":"2023-05-09T10:43:34","date_gmt":"2023-05-09T10:43:34","guid":{"rendered":"https:\/\/teknomers.com\/es\/investigadores-descubren-la-ultima-tecnica-de-polimorfismo-basada-en-servidor-de-sidewinder\/"},"modified":"2023-05-09T10:43:37","modified_gmt":"2023-05-09T10:43:37","slug":"investigadores-descubren-la-ultima-tecnica-de-polimorfismo-basada-en-servidor-de-sidewinder","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/investigadores-descubren-la-ultima-tecnica-de-polimorfismo-basada-en-servidor-de-sidewinder\/","title":{"rendered":"Investigadores descubren la \u00faltima t\u00e9cnica de polimorfismo basada en servidor de SideWinder"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>09 de mayo de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Amenaza Persistente Avanzada<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

El actor de amenazas persistentes avanzadas (APT) conocido como SideWinder ha sido acusado de desplegar una puerta trasera en ataques dirigidos contra organizaciones gubernamentales de Pakist\u00e1n como parte de una campa\u00f1a que comenz\u00f3 a fines de noviembre de 2022.<\/p>\n

“En esta campa\u00f1a, el grupo de amenazas persistentes avanzadas (APT) de SideWinder utiliz\u00f3 una t\u00e9cnica de polimorfismo basada en servidor para entregar la carga \u00fatil de la siguiente etapa”, dijo el equipo de investigaci\u00f3n e inteligencia de BlackBerry. dicho<\/a> en un informe t\u00e9cnico publicado el lunes.<\/p>\n

Otra campa\u00f1a descubierta por la empresa canadiense de ciberseguridad a principios de marzo de 2023 muestra que Turqu\u00eda tambi\u00e9n ha ca\u00eddo en el punto de mira de las prioridades de recopilaci\u00f3n del actor de amenazas.<\/p>\n

SideWinder ha estado en el radar desde al menos 2012 y se sabe que apunta principalmente a varias entidades del sudeste asi\u00e1tico ubicadas en Pakist\u00e1n, Afganist\u00e1n, But\u00e1n, China, Myanmar, Nepal y Sri Lanka.<\/p>\n

Se sospecha que es un grupo patrocinado por el estado indio, SideWinder tambi\u00e9n se rastrea bajo los nombres APT-C-17, APT-Q-39, Hardcore Nationalist (HN2), Rattlesnake, Razor Tiger y T-APT4.<\/p>\n

\"La<\/a><\/center><\/div>\n

Las secuencias de ataque t\u00edpicas montadas por el actor implican el uso de se\u00f1uelos de correo electr\u00f3nico cuidadosamente elaborados y T\u00e9cnicas de carga lateral de DLL<\/a> para pasar desapercibido e implementar malware capaz de otorgar a los actores acceso remoto a los sistemas objetivo.<\/p>\n

Durante el a\u00f1o pasado, SideWinder se ha vinculado a un ciber ataque dirigido<\/a> en la Escuela de Guerra de la Marina de Pakist\u00e1n (PNWC), as\u00ed como un Campa\u00f1a de malware de Android<\/a> que aprovech\u00f3 el limpiador de tel\u00e9fonos malicioso y las aplicaciones VPN cargadas en Google Play Store para recolectar informaci\u00f3n confidencial<\/a>.<\/p>\n

La \u00faltima cadena de infecci\u00f3n documentada por BlackBerry refleja los hallazgos de la firma china de ciberseguridad QiAnXin en diciembre de 2022 que detalla el uso de documentos de se\u00f1uelo de PNWC para lanzar una puerta trasera ligera basada en .NET (App.dll) que es capaz de recuperar y ejecutar malware de pr\u00f3xima etapa desde un servidor remoto.<\/p>\n

Lo que hace que la campa\u00f1a tambi\u00e9n se destaque es el uso del polimorfismo basado en servidor por parte del actor de amenazas como una forma de eludir potencialmente la detecci\u00f3n antivirus (AV) tradicional basada en firmas y distribuir cargas \u00fatiles adicionales respondiendo con dos versiones diferentes de un archivo RTF intermedio.<\/p>\n

Espec\u00edficamente, el documento PNWC<\/a> emplea un m\u00e9todo conocido como inyecci\u00f3n de plantilla remota<\/a> para obtener el archivo RTF de modo que contenga el c\u00f3digo malicioso solo si la solicitud se origina en un usuario en el rango de direcciones IP de Pakist\u00e1n.<\/p>\n

“Es importante tener en cuenta que en ambos casos, solo el nombre del archivo ‘file.rtf’ y el tipo de archivo son iguales; sin embargo, el contenido, el tama\u00f1o del archivo y el hash del archivo son diferentes”, explic\u00f3 BlackBerry.<\/p>\n

PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n

Aprenda a detener el ransomware con protecci\u00f3n en tiempo real<\/p>\n

\u00danase a nuestro seminario web y aprenda c\u00f3mo detener los ataques de ransomware en seco con MFA en tiempo real y protecci\u00f3n de cuenta de servicio.<\/p>\n

Guardar mi asiento!<\/a><\/div>\n

“Si el usuario no est\u00e1 en el rango de IP de Pakist\u00e1n, el servidor devuelve un archivo RTF de 8 bytes (archivo.rtf) que contiene una sola cadena: rtf1. Sin embargo, si el usuario est\u00e1 dentro del rango de IP de Pakist\u00e1n, el El servidor luego devuelve la carga \u00fatil RTF, que var\u00eda entre 406 KB y 414 KB en tama\u00f1o”.<\/p>\n

La divulgaci\u00f3n llega poco despu\u00e9s de que Fortinet y Team Cymru revelaran detalles de los ataques perpetrados por un actor de amenazas con sede en Pakist\u00e1n conocido como SideCopy contra la defensa india y objetivos militares.<\/p>\n

“La \u00faltima campa\u00f1a de SideWinder dirigida a Turqu\u00eda se superpone con los desarrollos m\u00e1s recientes en geopol\u00edtica; espec\u00edficamente, en Turqu\u00eda. apoyo de Pakist\u00e1n<\/a> y lo que sigue reacci\u00f3n<\/a> de la India”, dijo BlackBerry.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n