Los actores de amenazas detr\u00e1s del malware HiatusRAT han regresado de su pausa con una nueva ola de actividad de reconocimiento y focalizaci\u00f3n dirigida a organizaciones con sede en Taiw\u00e1n y un sistema de adquisici\u00f3n militar de EE. UU.<\/p>\n
Adem\u00e1s de recopilar muestras de malware para diferentes arquitecturas, se dice que los artefactos se alojaron en nuevos servidores privados virtuales (VPS), Lumen Black Lotus Labs. dicho<\/a> en un informe publicado la semana pasada.<\/p>\n La firma de ciberseguridad describi\u00f3 el grupo de actividad como “descarado” y “uno de los m\u00e1s audaces”, lo que indica que no hay signos de desaceleraci\u00f3n. La identidad y el origen de los actores de la amenaza se desconocen actualmente.<\/p>\n Los objetivos inclu\u00edan empresas comerciales, como fabricantes de semiconductores y productos qu\u00edmicos, y al menos una organizaci\u00f3n del gobierno municipal en Taiw\u00e1n, as\u00ed como un servidor del Departamento de Defensa de los EE. UU. (DoD) asociado con el env\u00edo y la recuperaci\u00f3n de propuestas para contratos de defensa.<\/p>\n La empresa de ciberseguridad revel\u00f3 por primera vez que HiatusRAT ten\u00eda como objetivo enrutadores de nivel empresarial para espiar de forma encubierta a las v\u00edctimas ubicadas principalmente en Am\u00e9rica Latina y Europa como parte de una campa\u00f1a que comenz\u00f3 en julio de 2022.<\/p>\n Se infectaron hasta 100 dispositivos de redes perimetrales en todo el mundo para recopilar tr\u00e1fico de forma pasiva y transformarlos en una red proxy de infraestructura de comando y control (C2).<\/p>\n El \u00faltimo conjunto de ataques, observado desde mediados de junio hasta agosto de 2023, implica el uso de binarios HiatusRAT preconstruidos dise\u00f1ados espec\u00edficamente para arquitecturas Arm, Intel 80386 y x86-64, junto con MIPS, MIPS64 e i386.<\/p>\n Un an\u00e1lisis de telemetr\u00eda para determinar las conexiones realizadas al servidor que aloja el malware ha revelado que “m\u00e1s del 91 % de las conexiones entrantes proced\u00edan de Taiw\u00e1n, y parec\u00eda haber una preferencia por los dispositivos perif\u00e9ricos fabricados por Ruckus”.<\/p>\n La infraestructura de HiatusRAT consta de servidores de reconocimiento y carga \u00fatil, que se comunican directamente con las redes de las v\u00edctimas. Estos servidores est\u00e1n controlados por servidores de nivel 1 que, a su vez, son operados y administrados por servidores de nivel 2.<\/p>\n Se ha identificado que los atacantes utilizan dos direcciones IP diferentes 207.246.80[.]240 y 45.63.70[.]57 para conectarse al servidor DoD el 13 de junio durante aproximadamente dos horas. Se estima que se transfirieron 11 MB de datos bidireccionales durante el per\u00edodo.<\/p>\n No est\u00e1 claro cu\u00e1l es el objetivo final, pero se sospecha que el adversario puede haber estado buscando informaci\u00f3n disponible p\u00fablicamente relacionada con contratos militares actuales y futuros para futuros objetivos.<\/p>\n La selecci\u00f3n de activos perimetrales como los enrutadores se ha convertido en un patr\u00f3n en los \u00faltimos meses, con actores de amenazas asociados con China vinculados a la explotaci\u00f3n de fallas de seguridad en dispositivos Fortinet y SonicWall sin parches para establecer una persistencia a largo plazo dentro de los entornos de destino.<\/p>\n “A pesar de las revelaciones previas de herramientas y capacidades, el actor de amenazas tom\u00f3 los pasos m\u00e1s peque\u00f1os para cambiar los servidores de carga \u00fatil existentes y continu\u00f3 con sus operaciones, sin siquiera intentar reconfigurar su infraestructura C2”, dijo la compa\u00f1\u00eda.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/China039s-APT31-Suspected-in-Attacks-on-Air-Gapped-Systems-in-Eastern.png\")
<\/a><\/center><\/section>\n![\"Malware](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/1692603952_900_El-malware-HiatusRAT-resurge-empresas-de-Taiwan-y-militares-de.jpg\" "\\"Malware")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/China039s-APT31-Suspected-in-Attacks-on-Air-Gapped-Systems-in-Eastern.gif\")
<\/a><\/center><\/section>\n