El infame Grupo L\u00e1zaro<\/strong> El actor ha estado apuntando a versiones vulnerables de los servidores de Microsoft Internet Information Services (IIS) como una ruta de violaci\u00f3n inicial para implementar malware en los sistemas objetivo.<\/p>\n Los hallazgos provienen del AhnLab Security Emergency Response Center (ASEC), que detall\u00f3 el abuso continuo de las amenazas persistentes avanzadas (APT) de las t\u00e9cnicas de carga lateral de DLL para implementar malware.<\/p>\n “El actor de la amenaza coloca una DLL maliciosa (msvcr100.dll) en la misma ruta de la carpeta que una aplicaci\u00f3n normal (Wordconv.exe) a trav\u00e9s del proceso del servidor web Windows IIS, w3wp.exe”, ASEC explicado<\/a>. “Luego ejecutan la aplicaci\u00f3n normal para iniciar la ejecuci\u00f3n de la DLL maliciosa”.<\/p>\n Carga lateral de DLL<\/a>similar al secuestro de orden de b\u00fasqueda de DLL, se refiere a la ejecuci\u00f3n de proxy<\/a> de una DLL maliciosa a trav\u00e9s de un binario benigno plantado en el mismo directorio.<\/p>\n Lazarus, un grupo de estado-naci\u00f3n altamente capaz e implacable vinculado a Corea del Norte, fue visto m\u00e1s recientemente aprovechando la misma t\u00e9cnica en relaci\u00f3n con el ataque en cascada a la cadena de suministro contra el proveedor de servicios de comunicaciones empresariales 3CX.<\/p>\n La biblioteca maliciosa msvcr100.dll, por su parte, est\u00e1 dise\u00f1ada para descifrar una carga \u00fatil codificada que luego se ejecuta en la memoria. Se dice que el malware es una variante de un artefacto similar que fue descubierto<\/a> por ASEC el a\u00f1o pasado y que actu\u00f3 como una puerta trasera para comunicarse con un servidor controlado por un actor.<\/p>\n La cadena de ataque implic\u00f3 adem\u00e1s la explotaci\u00f3n de un complemento Notepad ++ de c\u00f3digo abierto descontinuado llamado Selector de color r\u00e1pido<\/a> para entregar malware adicional para facilitar el robo de credenciales y el movimiento lateral.<\/p>\n El \u00faltimo desarrollo demuestra la diversidad de los ataques de Lazarus y su capacidad para emplear un amplio conjunto de herramientas contra las v\u00edctimas para llevar a cabo operaciones de espionaje a largo plazo.<\/p>\n “En particular, dado que el grupo de amenazas utiliza principalmente la t\u00e9cnica de carga lateral de DLL durante sus infiltraciones iniciales, las empresas deben monitorear de manera proactiva las relaciones de ejecuci\u00f3n de procesos anormales y tomar medidas preventivas para evitar que el grupo de amenazas lleve a cabo actividades como la exfiltraci\u00f3n de informaci\u00f3n y el movimiento lateral. dijo ASEC.<\/p>\n Los hallazgos tambi\u00e9n se producen cuando el Departamento del Tesoro de EE. UU. sancion\u00f3 a cuatro entidades y una persona involucrada en actividades cibern\u00e9ticas maliciosas y esquemas de recaudaci\u00f3n de fondos que tienen como objetivo apoyar las prioridades estrat\u00e9gicas de Corea del Norte.<\/p>\n Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n Guardar mi asiento!<\/a><\/div>\n Esto incluye la Universidad de Automatizaci\u00f3n de Pyongyang, la Oficina de Reconocimiento T\u00e9cnico y su unidad cibern\u00e9tica subordinada, el Centro de Investigaci\u00f3n 110, la Compa\u00f1\u00eda de Cooperaci\u00f3n de Tecnolog\u00eda de la Informaci\u00f3n de Chinyong y un ciudadano norcoreano llamado Kim Sang Man.<\/p>\n Se cree que el Grupo Lazarus y sus diversos grupos son operados por la Oficina de Reconocimiento T\u00e9cnico, que supervisa el desarrollo de t\u00e1cticas y herramientas cibern\u00e9ticas ofensivas de Corea del Norte.<\/p>\n Se sabe que la naci\u00f3n afectada por las sanciones, adem\u00e1s de participar en operaciones de espionaje y robo de criptomonedas, genera ingresos il\u00edcitos de una fuerza laboral de trabajadores de TI calificados que posar bajo identidades ficticias<\/a> para obtener puestos de trabajo en los sectores de tecnolog\u00eda y moneda virtual en todo el mundo.<\/p>\n “La RPDC lleva a cabo actividades cibern\u00e9ticas maliciosas y despliega trabajadores de tecnolog\u00eda de la informaci\u00f3n (TI) que obtienen empleo de manera fraudulenta para generar ingresos, incluso en moneda virtual, para apoyar al r\u00e9gimen de Kim y sus prioridades, como sus programas ilegales de armas de destrucci\u00f3n masiva y misiles bal\u00edsticos, ” el Departamento dicho<\/a>.<\/p>\n “Estos trabajadores ofuscan deliberadamente sus identidades, ubicaciones y nacionalidades, por lo general utilizando personas falsas, cuentas de proxy, identidades robadas y documentaci\u00f3n falsificada o falsificada para solicitar puestos de trabajo en estas empresas”.<\/p>\n “Ganan cientos de millones de d\u00f3lares al a\u00f1o al participar en una amplia gama de trabajos de desarrollo de TI, incluidas plataformas de trabajo independientes (sitios web\/aplicaciones) y desarrollo de criptomonedas, despu\u00e9s de obtener contratos de trabajo independientes de empresas de todo el mundo”, dijo el gobierno de Corea del Sur. prevenido<\/a> en diciembre de 2022.<\/p>\n <\/p>\nEl Tesoro de EE. UU. sanciona a entidades de Corea del Norte<\/h3>\n