{"id":758745,"date":"2023-05-17T09:54:40","date_gmt":"2023-05-17T09:54:40","guid":{"rendered":"https:\/\/teknomers.com\/es\/infraestructura-de-ataque-encubierto-de-sidewinder-hacker-group-patrocinado-por-el-estado-descubierta\/"},"modified":"2023-05-17T09:54:43","modified_gmt":"2023-05-17T09:54:43","slug":"infraestructura-de-ataque-encubierto-de-sidewinder-hacker-group-patrocinado-por-el-estado-descubierta","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/infraestructura-de-ataque-encubierto-de-sidewinder-hacker-group-patrocinado-por-el-estado-descubierta\/","title":{"rendered":"Infraestructura de ataque encubierto de Sidewinder Hacker Group patrocinado por el estado descubierta"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>17 de mayo de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Ciberespionaje \/ Amenaza Intel<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Los investigadores de seguridad cibern\u00e9tica han desenterrado una infraestructura de ataque previamente no documentada utilizada por el prol\u00edfico grupo patrocinado por el estado. SideWinder<\/strong> para atacar entidades ubicadas en Pakist\u00e1n y China.<\/p>\n

Esto comprende una red de 55 dominios y direcciones IP utilizadas por el actor de amenazas, dijeron las compa\u00f1\u00edas de ciberseguridad Group-IB y Bridewell en un informe conjunto compartido con The Hacker News.<\/p>\n

“Los dominios de phishing identificados imitan a varias organizaciones en los sectores de noticias, gobierno, telecomunicaciones y finanzas”, los investigadores Nikita Rostovtsev, Joshua Penny y Yashraj Solanki. dicho<\/a>.<\/p>\n

Se sabe que SideWinder est\u00e1 activo desde al menos 2012, con cadenas de ataque que aprovechan principalmente el spear-phishing como un mecanismo de intrusi\u00f3n para obtener un punto de apoyo en entornos espec\u00edficos.<\/p>\n

Se cree ampliamente que el rango objetivo del grupo est\u00e1 asociado con los intereses de espionaje indios. Las naciones atacadas con m\u00e1s frecuencia incluyen Pakist\u00e1n, China, Sri Lanka, Afganist\u00e1n, Bangladesh, Myanmar, Filipinas, Qatar y Singapur.<\/p>\n

\"La<\/a><\/center><\/div>\n

A principios de febrero, Group-IB sac\u00f3 a la luz pruebas de que SideWinder pudo haber apuntado a 61 organizaciones gubernamentales, militares, policiales y de otro tipo en toda Asia entre junio y noviembre de 2021.<\/p>\n

M\u00e1s recientemente, se observ\u00f3 que el grupo de estado-naci\u00f3n aprovechaba una t\u00e9cnica conocida como polimorfismo basado en servidor en ataques evasivos dirigidos a organizaciones gubernamentales paquistan\u00edes.<\/p>\n

Los dominios reci\u00e9n descubiertos imitan a las organizaciones gubernamentales de Pakist\u00e1n, China e India y se caracterizan por el uso de los mismos valores en los registros de WHOIS e informaci\u00f3n de registro similar.<\/p>\n

Algunos de estos dominios albergan documentos de se\u00f1uelo con temas gubernamentales que est\u00e1n dise\u00f1ados para descargar una carga \u00fatil desconocida de la pr\u00f3xima etapa.<\/p>\n

La mayor\u00eda de estos documentos se cargaron en VirusTotal en marzo de 2023 desde Pakist\u00e1n. Uno de ellos es un archivo de Microsoft Word supuestamente del Colegio de Guerra de la Marina de Pakist\u00e1n (PNWC), que fue analizado tanto por QiAnXin como por BlackBerry en los \u00faltimos meses.<\/p>\n

\"Pirata<\/div>\n

Tambi\u00e9n se descubri\u00f3 un archivo de acceso directo de Windows (LNK) que se carg\u00f3 a VirusTotal desde Beijing a fines de noviembre de 2022. El archivo LNK, por su parte, est\u00e1 dise\u00f1ado para ejecutar un archivo de aplicaci\u00f3n HTML (HTA) recuperado de un servidor remoto que falsifica el archivo de la Universidad de Tsinghua. sistema de correo electr\u00f3nico (mailtsinghua.sinacn[.]co).<\/p>\n

Otro archivo LNK que se carg\u00f3 en VirusTotal casi al mismo tiempo desde Katmand\u00fa emplea un m\u00e9todo similar para obtener un archivo HTA de un dominio que se hace pasar por un sitio web del gobierno de Nepal (mailv.mofs-gov[.]org).<\/p>\n

La investigaci\u00f3n adicional de la infraestructura de SideWinder ha llevado al descubrimiento de un archivo APK de Android malicioso (226617) que se carg\u00f3 en VirusTotal desde Sri Lanka en marzo de 2023.<\/p>\n

PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n

Aprenda a detener el ransomware con protecci\u00f3n en tiempo real<\/p>\n

\u00danase a nuestro seminario web y aprenda c\u00f3mo detener los ataques de ransomware en seco con MFA en tiempo real y protecci\u00f3n de cuenta de servicio.<\/p>\n

Guardar mi asiento!<\/a><\/div>\n

La aplicaci\u00f3n maliciosa de Android se hace pasar por un “Juego de Ludo” y solicita a los usuarios que le concedan acceso a contactos, ubicaci\u00f3n, registros telef\u00f3nicos, mensajes SMS y calendario, funcionando efectivamente como spyware capaz de recopilar informaci\u00f3n confidencial.<\/p>\n

Group-IB dijo que la aplicaci\u00f3n tambi\u00e9n muestra similitudes con la falsa aplicaci\u00f3n Secure VPN que la compa\u00f1\u00eda revel\u00f3 en junio de 2022 como distribuida a objetivos en Pakist\u00e1n por medio de un sistema de direcci\u00f3n de tr\u00e1fico (TDS) llamado AntiBot.<\/p>\n

En total, los dominios apuntan a que SideWinder fija su mirada en organizaciones financieras, gubernamentales y policiales, as\u00ed como en empresas especializadas en comercio electr\u00f3nico y medios de comunicaci\u00f3n en Pakist\u00e1n y China.<\/p>\n

“Al igual que muchos otros grupos APT, SideWinder se basa en el phishing dirigido como vector inicial”, dijeron los investigadores. “Por lo tanto, es importante que las organizaciones implementen soluciones de protecci\u00f3n de correo electr\u00f3nico empresarial que detonen contenido malicioso”.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n