Una campa\u00f1a de ciberataques en curso que se origina en China tiene como objetivo el sector del juego del sudeste asi\u00e1tico para implementar balizas Cobalt Strike en sistemas comprometidos. <\/p>\n
La firma de seguridad cibern\u00e9tica SentinelOne dijo que las t\u00e1cticas, t\u00e9cnicas y procedimientos apuntan a la participaci\u00f3n de un actor de amenazas rastreado como Luz de estrella de bronce<\/strong> (tambi\u00e9n conocido como Emperor Dragonfly o Storm-0401), que se ha relacionado con el uso de familias de ransomware de corta duraci\u00f3n como cortina de humo para ocultar sus motivos de espionaje.<\/p>\n “Los actores de amenazas abusan de los ejecutables Adobe Creative Cloud, Microsoft Edge y McAfee VirusScan vulnerables al secuestro de DLL para implementar balizas Cobalt Strike”, los investigadores de seguridad Aleksandar Milenkoski y Tom Hegel. dicho<\/a> en un an\u00e1lisis publicado hoy.<\/p>\n Tambi\u00e9n vale la pena se\u00f1alar que las exhibiciones de la campa\u00f1a se superponen con un conjunto de intrusos monitoreado por ESET bajo el nombre Operation ChattyGoblin. Esta actividad, a su vez, comparte puntos en com\u00fan con un ataque a la cadena de suministro que sali\u00f3 a la luz el a\u00f1o pasado aprovechando un instalador troyano para la aplicaci\u00f3n Comm100 Live Chat para distribuir una puerta trasera de JavaScript.<\/p>\n La atribuci\u00f3n a un grupo exacto sigue siendo un desaf\u00edo debido a las relaciones interconectadas y la amplia infraestructura y el intercambio de malware que prevalece entre varios actores del estado-naci\u00f3n chino.<\/p>\n Se sabe que los ataques emplean instaladores modificados para que las aplicaciones de chat descarguen un cargador de malware .NET que est\u00e1 configurado para recuperar un archivo ZIP de segunda etapa de los cubos de Alibaba.<\/p>\n El archivo ZIP consiste en un ejecutable leg\u00edtimo vulnerable a Secuestro de orden de b\u00fasqueda de DLL<\/a>a DLL malicioso que se carga lateralmente<\/a> por el ejecutable cuando se inicia, y un archivo de datos cifrados llamado agent.data.<\/p>\n Espec\u00edficamente, esto implica el uso de ejecutables de Adobe Creative Cloud, Microsoft Edge y McAfee VirusScan que son susceptibles de secuestro de DLL para descifrar y ejecutar el c\u00f3digo incrustado en el archivo de datos, que implementa una baliza Cobalt Strike.<\/p>\n “El cargador se ejecuta a trav\u00e9s de la carga lateral mediante ejecutables leg\u00edtimos vulnerables al secuestro de DLL y organiza una carga \u00fatil almacenada en un archivo cifrado”, se\u00f1alaron los investigadores.<\/p>\n SentinelOne dijo que uno de los cargadores de malware .NET (“AdventureQuest.exe”) est\u00e1 firmado con un certificado emitido por un proveedor de VPN con sede en Singapur llamado Ivacy VPN, lo que indica el robo de la clave de firma en alg\u00fan momento. Digicert tiene desde revocado<\/a> el certificado a junio de 2023.<\/p>\n Los archivos DLL de carga lateral son variantes de HUI Loader, un cargador de malware personalizado que ha sido ampliamente utilizado por grupos con sede en China como APT10, Bronze Starlight y TA410. Se dice que APT10 y TA410 comparten superposiciones de comportamiento y herramientas entre s\u00ed, y el primero tambi\u00e9n est\u00e1 relacionado con otro grupo denominado Earth Tengshe.<\/p>\n “Los actores de amenazas de China-nexus han compartido constantemente malware, infraestructura y t\u00e1cticas operativas en el pasado, y contin\u00faan haci\u00e9ndolo”, dijeron los investigadores, y agregaron que las actividades “ilustran la naturaleza intrincada del panorama de amenazas chino”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/Microsoft-Addresses-Critical-Power-Platform-Flaw-After-Delays-and-Criticism.png\")
<\/a><\/center><\/section>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/New-Version-of-Rilide-Data-Theft-Malware-Adapts-to-Chrome.gif\")
<\/a><\/center><\/section>\n