{"id":816819,"date":"2023-06-21T18:10:45","date_gmt":"2023-06-21T18:10:45","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-de-scarcruft-explotan-el-servicio-ably-para-ataques-sigilosos-de-escuchas-telefonicas\/"},"modified":"2023-06-21T18:10:49","modified_gmt":"2023-06-21T18:10:49","slug":"los-piratas-informaticos-de-scarcruft-explotan-el-servicio-ably-para-ataques-sigilosos-de-escuchas-telefonicas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-de-scarcruft-explotan-el-servicio-ably-para-ataques-sigilosos-de-escuchas-telefonicas\/","title":{"rendered":"Los piratas inform\u00e1ticos de ScarCruft explotan el servicio Ably para ataques sigilosos de escuchas telef\u00f3nicas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">21 de junio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Ciberamenaza \/ Privacidad<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Se ha observado que el actor de amenazas norcoreano conocido como ScarCruft usa un malware que roba informaci\u00f3n con funciones previas de escuchas telef\u00f3nicas no documentadas, as\u00ed como una puerta trasera desarrollada con Golang que explota el servicio de mensajer\u00eda en tiempo real Ably.<\/p>\n<p>&#8220;El actor de amenazas envi\u00f3 sus comandos a trav\u00e9s de la puerta trasera de Golang que est\u00e1 utilizando el servicio Ably&#8221;, dijo el Centro de Respuesta a Emergencias de Seguridad AhnLab (ASEC) <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/54349\/\" target=\"_blank\">dicho<\/a> en un informe t\u00e9cnico.  &#8220;El valor de la clave API requerido para la comunicaci\u00f3n de comandos se guard\u00f3 en un repositorio de GitHub&#8221;.<\/p>\n<p>ScarCruft es un equipo patrocinado por el estado con v\u00ednculos con el Ministerio de Seguridad del Estado (MSS) de Corea del Norte.  Se sabe que est\u00e1 activo desde al menos 2012.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgJAjUQq6Q-jnCUYYsXW9S62xJXyCmVlxF__fI5R0hdBdqBD6x-3aAoH7eBcc_FJ1C5b7gUMEbhDvqoDNQli6GCY7zdtiROqBsEwJdQK0GJsddjJY20zaFbXObbbtlW838TLd_DI5fQQ-ug4-jw3mfW8-n6MUytcojduvyOtnjbOxtv7BM36WV4bPSbLQ\/s728-e200\/netspi-728-2.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Las cadenas de ataque montadas por el grupo implican el uso de se\u00f1uelos de phishing para entregar RokRAT, aunque ha aprovechado una amplia gama de otras herramientas personalizadas para recopilar informaci\u00f3n confidencial.<\/p>\n<p>En la \u00faltima intrusi\u00f3n detectada por ASEC, el correo electr\u00f3nico contiene un archivo de ayuda HTML compilado (.CHM) de Microsoft, una t\u00e1ctica que se inform\u00f3 por primera vez en marzo de 2023, que, cuando se hace clic, se comunica con un servidor remoto para descargar un malware de PowerShell conocido como Chinotto. .<\/p>\n<p>Chinotto, adem\u00e1s de ser responsable de configurar la persistencia, recuperar cargas \u00fatiles adicionales, incluida una puerta trasera con nombre en c\u00f3digo AblyGo (tambi\u00e9n conocido como SidLevel de Kaspersky) que abusa de Ably para comando y control.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/Los-piratas-informaticos-de-ScarCruft-explotan-el-servicio-Ably-para.png\" alt=\"\" border=\"0\" data-original-height=\"336\" data-original-width=\"1256\"\/><\/div>\n<p>No termina ah\u00ed, ya que AblyGo se utiliza como conducto para ejecutar en \u00faltima instancia un malware de ladr\u00f3n de informaci\u00f3n denominado FadeStealer que viene con varias funciones para tomar capturas de pantalla, recopilar datos de medios extra\u00edbles y tel\u00e9fonos inteligentes, registrar pulsaciones de teclas y grabar micr\u00f3fonos.<\/p>\n<p>\u201cEl grupo RedEyes lleva a cabo ataques contra personas espec\u00edficas, como desertores de Corea del Norte, activistas de derechos humanos y profesores universitarios\u201d, dijo ASEC.  &#8220;Su enfoque principal es el robo de informaci\u00f3n&#8221;.<\/p>\n<p>&#8220;La escucha no autorizada de personas en Corea del Sur se considera una violaci\u00f3n de la privacidad y est\u00e1 estrictamente regulada por las leyes pertinentes. A pesar de esto, el actor de amenazas monitore\u00f3 todo lo que las v\u00edctimas hicieron en su PC e incluso realiz\u00f3 escuchas telef\u00f3nicas&#8221;.<\/p>\n<div class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>\ud83d\udd10 Dominio de la seguridad de API: comprensi\u00f3n de su verdadera superficie de ataque<\/p>\n<p class=\"wn-description\">Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable.  \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" class=\"wn-button\">\u00danase a la sesi\u00f3n<\/a><\/div>\n<p>Los archivos CHM tambi\u00e9n han sido empleados por otros grupos afiliados a Corea del Norte, como Kimsuky, y SentinelOne revel\u00f3 una campa\u00f1a reciente que aprovecha el formato de archivo para ofrecer una herramienta de reconocimiento llamada RandomQuery.<\/p>\n<p>en un <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/54678\/\" target=\"_blank\">nuevo conjunto de ataques<\/a> detectados por ASEC, los archivos CHM est\u00e1n configurados para soltar un archivo BAT, que luego se usa para descargar malware de pr\u00f3xima etapa y filtrar la informaci\u00f3n del usuario del host comprometido.<\/p>\n<p>Spear-phishing, que ha sido la t\u00e9cnica de acceso inicial preferida de Kimsuky durante m\u00e1s de una d\u00e9cada, generalmente est\u00e1 precedida por una amplia investigaci\u00f3n y una preparaci\u00f3n meticulosa, seg\u00fan un aviso de las agencias de inteligencia de EE. UU. y Corea del Sur.<\/p>\n<p>Los hallazgos tambi\u00e9n siguen las recomendaciones del Grupo Lazarus <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/54195\/\" target=\"_blank\">explotaci\u00f3n activa<\/a> de fallas de seguridad en software como <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/50910\/\" target=\"_blank\">INISAFE CrossWeb EX<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/50606\/\" target=\"_blank\">MagicLine4NX<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/50213\/\" target=\"_blank\">TCO!Corriente<\/a>y <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/50205\/\" target=\"_blank\">chalecoCert<\/a> que se utilizan ampliamente en Corea del Sur para violar empresas e implementar malware.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/scarcruft-hackers-exploit-ably-service.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80221 de junio de 2023\ue804Ravie Lakshman\u00e1nCiberamenaza \/ Privacidad Se ha observado que el actor de amenazas norcoreano conocido<\/p>\n","protected":false},"author":1,"featured_media":816820,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[170109,4657,4656,2346,4661,4664,13789,8513,4662,6214,4668,4667,36,4654,4658,4659,4653,4655,18,6213,4663,131233,4666,4665,4204,115215,21510,4660],"class_list":["post-816819","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-ably","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-como-hackear","tag-escuchas","tag-explotan","tag-filtracion-de-datos","tag-informaticos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-piratas","tag-programa-malicioso-ransomware","tag-scarcruft","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-servicio","tag-sigilosos","tag-telefonicas","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/816819","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=816819"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/816819\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/816820"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=816819"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=816819"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=816819"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}