{"id":830194,"date":"2023-06-29T20:02:33","date_gmt":"2023-06-29T20:02:33","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-grupo-norcoreano-de-hackers-andariel-ataca-con-el-nuevo-malware-earlyrat\/"},"modified":"2023-06-29T20:02:36","modified_gmt":"2023-06-29T20:02:36","slug":"el-grupo-norcoreano-de-hackers-andariel-ataca-con-el-nuevo-malware-earlyrat","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-grupo-norcoreano-de-hackers-andariel-ataca-con-el-nuevo-malware-earlyrat\/","title":{"rendered":"El grupo norcoreano de hackers Andariel ataca con el nuevo malware EarlyRat"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">29 de junio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Vulnerabilidad \/ Malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>El actor de amenazas alineado con Corea del Norte conocido como <b>Andariel <\/b>aprovech\u00f3 un malware previamente no documentado llamado <b>EarlyRat <\/b>en ataques que explotaron la vulnerabilidad Log4j Log4Shell el a\u00f1o pasado.<\/p>\n<p>&#8220;Andariel infecta las m\u00e1quinas mediante la ejecuci\u00f3n de un exploit Log4j que, a su vez, descarga m\u00e1s malware del servidor de comando y control (C2)&#8221;, Kaspersky <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/lazarus-andariel-mistakes-and-easyrat\/110119\/\" target=\"_blank\">dicho<\/a> en un nuevo informe.<\/p>\n<p>Tambi\u00e9n llamado Silent Chollima y Stonefly, Andariel est\u00e1 asociado con el Laboratorio 110 de Corea del Norte, una unidad de pirater\u00eda principal que tambi\u00e9n alberga APT38 (tambi\u00e9n conocido como <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sekoia.io\/bluenoroffs-rustbucket-campaign\/\" target=\"_blank\">azulnoroff<\/a>) y otros elementos subordinados rastreados colectivamente bajo el nombre general <a rel=\"nofollow noopener\" href=\"https:\/\/blog.lexfo.fr\/Lexfo-WhitePaper-The_Lazarus_Constellation.html\" target=\"_blank\">Grupo L\u00e1zaro<\/a>. <\/p>\n<p>El actor de amenazas, adem\u00e1s de realizar ataques de espionaje contra gobiernos extranjeros y entidades militares que son de inter\u00e9s estrat\u00e9gico, es conocido por llevar a cabo delitos cibern\u00e9ticos como una fuente adicional de ingresos para la naci\u00f3n afectada por las sanciones.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/1685807016_716_La-FTC-condena-a-Amazon-con-una-multa-de-308.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Algunas de las armas cibern\u00e9ticas clave en su arsenal incluyen una variedad de ransomware conocida como Maui y numerosos troyanos de acceso remoto y puertas traseras como Dtrack (tambi\u00e9n conocido como Valefor y Preft), NukeSped (tambi\u00e9n conocido como Manuscrypt), MagicRAT y YamaBot.<\/p>\n<p>NukeVelocidad <a rel=\"nofollow noopener\" href=\"https:\/\/www.cyfirma.com\/outofband\/nukesped-rat-report\/\" target=\"_blank\">contiene<\/a> una variedad de funciones para crear y finalizar procesos y mover, leer y escribir archivos en el host infectado.  El uso de NukeSped se superpone con una campa\u00f1a rastreada por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) bajo el nombre TraderTraitor.<\/p>\n<p>El uso de Andariel de la vulnerabilidad Log4Shell en servidores VMware Horizon sin parches fue documentado previamente por AhnLab Security Emergency Response Center (ASEC) y Cisco Talos en 2022.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/www.memcyco.com\/home\/library\/the-untold-cost-of-brand-impersonation-ebook\/?utm_source=thn&amp;utm_medium=referral&amp;utm_campaign=ebook-campaign\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/La-nueva-campana-en-curso-apunta-al-ecosistema-npm-con.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La \u00faltima cadena de ataque descubierta por Kaspsersky muestra que EarlyRat se propaga por medio de correos electr\u00f3nicos de phishing que contienen documentos de Microsoft Word se\u00f1uelo.  Los archivos, cuando se abren, solicitan a los destinatarios que habiliten las macros, lo que lleva a la ejecuci\u00f3n del c\u00f3digo VBA responsable de descargar el troyano.<\/p>\n<p>Descrito como una puerta trasera simple pero limitada, EarlyRat est\u00e1 dise\u00f1ado para recopilar y extraer informaci\u00f3n del sistema a un servidor remoto, as\u00ed como para ejecutar comandos arbitrarios.  Tambi\u00e9n comparte similitudes de alto nivel con MagicRAT, sin mencionar que est\u00e1 escrito usando un marco llamado <a rel=\"nofollow noopener\" href=\"https:\/\/www.purebasic.com\/\" target=\"_blank\">PureBasic<\/a>.  MagicRAT, por otro lado, emplea Qt Framework.<\/p>\n<p>Otra caracter\u00edstica de la intrusi\u00f3n es el uso de herramientas leg\u00edtimas comerciales como 3Proxy, ForkDump, NTDSDumpEx, Powerline y PuTTY para una mayor explotaci\u00f3n del objetivo.<\/p>\n<p>&#8220;A pesar de ser un grupo APT, Lazarus es conocido por realizar tareas t\u00edpicas de ciberdelincuencia, como implementar ransomware, lo que complica el panorama de la ciberdelincuencia&#8221;, dijo Kaspersky.  &#8220;Adem\u00e1s, el grupo utiliza una amplia variedad de herramientas personalizadas, actualizando constantemente el malware existente y desarrollando nuevo&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/north-korean-hacker-group-andariel.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80229 de junio de 2023\ue804Ravie Lakshman\u00e1nVulnerabilidad \/ Malware El actor de amenazas alineado con Corea del Norte conocido<\/p>\n","protected":false},"author":1,"featured_media":830195,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,171650,4397,4661,4664,99,171651,4662,2386,6369,4668,4667,4669,73806,4654,4658,4659,4653,4655,480,4663,4666,4665,4660],"class_list":["post-830194","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-andariel","tag-ataca","tag-ataques-ciberneticos","tag-como-hackear","tag-con","tag-earlyrat","tag-filtracion-de-datos","tag-grupo","tag-hackers","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware","tag-norcoreano","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevo","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/830194","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=830194"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/830194\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/830195"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=830194"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=830194"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=830194"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}