Los sectores del gobierno, la aviaci\u00f3n, la educaci\u00f3n y las telecomunicaciones ubicados en el sur y sureste de Asia han pasado al radar de un nuevo grupo de hackers como parte de una campa\u00f1a altamente dirigida que comenz\u00f3 a mediados de 2022 y continu\u00f3 hasta el primer trimestre de 2023.<\/p>\n
Symantec, de Broadcom Software, est\u00e1 rastreando la actividad bajo su nombre de insecto. mosca lanza<\/strong>con los ataques haciendo uso de una puerta trasera “poderosa” llamada Merdoor.<\/p>\n La evidencia recopilada hasta ahora apunta a que el implante personalizado se utiliz\u00f3 desde 2018. El objetivo final de la campa\u00f1a, basado en las herramientas y el patr\u00f3n de victimolog\u00eda, se eval\u00faa como la recopilaci\u00f3n de inteligencia.<\/p>\n “La puerta trasera se usa de manera muy selectiva, apareciendo solo en un pu\u00f1ado de redes y una peque\u00f1a cantidad de m\u00e1quinas a lo largo de los a\u00f1os, y su uso parece ser muy espec\u00edfico”, Symantec dicho<\/a> en un an\u00e1lisis compartido con The Hacker News.<\/p>\n “Los atacantes de esta campa\u00f1a tambi\u00e9n tienen acceso a una versi\u00f3n actualizada del rootkit ZXShell”.<\/p>\n Si bien el vector de intrusi\u00f3n inicial exacto utilizado actualmente no est\u00e1 claro, se sospecha que involucr\u00f3 el uso de se\u00f1uelos de phishing, fuerza bruta SSH o la explotaci\u00f3n de servidores expuestos a Internet.<\/p>\n Las cadenas de ataque finalmente conducen a la implementaci\u00f3n de ZXShell y Merdoor, un malware con todas las funciones que puede comunicarse con un servidor controlado por un actor para obtener m\u00e1s comandos y registrar pulsaciones de teclas.<\/p>\n ZXShell, documentado por primera vez<\/a> por Cisco en octubre de 2014, es un rootkit que viene con varias funciones para recopilar datos confidenciales de hosts infectados. El uso de ZXShell se ha relacionado con varios actores chinos como APT17<\/a> (Aurora Panda) y APT27<\/a> (tambi\u00e9n conocido como Budworm o Emissary Panda) en el pasado<\/a>.<\/p>\n “El c\u00f3digo fuente de este rootkit est\u00e1 disponible p\u00fablicamente, por lo que puede ser utilizado por varios grupos diferentes”, dijo Symantec. “La nueva versi\u00f3n del rootkit utilizada por Lancefly parece ser m\u00e1s peque\u00f1a en tama\u00f1o, mientras que tambi\u00e9n tiene funciones adicionales y apunta a software antivirus adicional para deshabilitar”.<\/p>\n Otro enlace chino proviene del hecho de que el rootkit ZXShell est\u00e1 firmado por el certificado “Wemade Entertainment Co. Ltd”, que fue previamente reportado<\/a> por Mandiant en agosto de 2029 para asociarse con APT41 (tambi\u00e9n conocido como Winnti).<\/p>\n Aprenda a detener el ransomware con protecci\u00f3n en tiempo real<\/p>\n \u00danase a nuestro seminario web y aprenda c\u00f3mo detener los ataques de ransomware en seco con MFA en tiempo real y protecci\u00f3n de cuenta de servicio.<\/p>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj92WbgLIDS9cDnAqrFHjS-Xxt9Pf3L4T4X0VQ9xtBRsv39wX9aWEDdJKlklkKXzCcTFKOU8W3Jv4DV-pIVJKKdfFdknvvvBhDQP_F0b48qgqcQM_2VPRKsu2rHtJTXRc-2VCN38uovchYzKGca-LTi2RvS7pqs6NsrIffkDivZSV4igwp-EWWsK90QPQ\/s728-e100\/tractivethreatsstatic-728x90.png\")
<\/a><\/center><\/div>\n