{"id":915524,"date":"2023-08-22T14:30:47","date_gmt":"2023-08-22T14:30:47","guid":{"rendered":"https:\/\/teknomers.com\/es\/ataques-carderbee-organizaciones-de-hong-kong-atacadas-mediante-actualizaciones-de-software-maliciosas\/"},"modified":"2023-08-22T14:30:51","modified_gmt":"2023-08-22T14:30:51","slug":"ataques-carderbee-organizaciones-de-hong-kong-atacadas-mediante-actualizaciones-de-software-maliciosas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/ataques-carderbee-organizaciones-de-hong-kong-atacadas-mediante-actualizaciones-de-software-maliciosas\/","title":{"rendered":"Ataques Carderbee: Organizaciones de Hong Kong atacadas mediante actualizaciones de software maliciosas"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>22 de agosto de 2023<\/span>\ue804<\/i>THN<\/span><\/span>Cadena de suministro de software\/malware<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Un grupo de amenazas previamente no documentado se ha vinculado a un ataque a la cadena de suministro de software dirigido a organizaciones ubicadas principalmente en Hong Kong y otras regiones de Asia.<\/p>\n

El equipo Symantec Threat Hunter, parte de Broadcom, est\u00e1 rastreando la actividad bajo su nombre de insecto Carderbee.<\/p>\n

Los ataques, seg\u00fan la empresa de ciberseguridad, aprovechan una versi\u00f3n troyanizada de un software leg\u00edtimo llamado EsafeNet Cobra DocGuard Client para entregar una puerta trasera conocida llamada PlugX (tambi\u00e9n conocida como Korplug) en las redes de las v\u00edctimas.<\/p>\n

“En el curso de este ataque, los atacantes utilizaron malware firmado con un certificado leg\u00edtimo de Microsoft”, afirma la empresa. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n

\"La<\/a><\/center><\/section>\n

ESET destac\u00f3 previamente el uso de Cobra DocGuard Client para llevar a cabo un ataque a la cadena de suministro en su informe. Informe trimestral de amenazas<\/a> este a\u00f1o, detallando una intrusi\u00f3n en septiembre de 2022 en la que una empresa de juegos de azar an\u00f3nima en Hong Kong se vio comprometida a trav\u00e9s de una actualizaci\u00f3n maliciosa impulsada por el software.<\/p>\n

Se dice que la misma empresa ya fue infectada antes, en septiembre de 2021, utilizando la misma t\u00e9cnica. El ataque, vinculado a un actor de amenazas chino llamado Lucky Mouse (tambi\u00e9n conocido como APT27, Budworm o Emissary Panda), finalmente condujo a la implementaci\u00f3n de PlugX.<\/p>\n

Sin embargo, la \u00faltima campa\u00f1a detectada por Symantec en abril de 2023 muestra pocos puntos en com\u00fan que la vinculen de manera concluyente con el mismo actor. Adem\u00e1s, el hecho de que PlugX sea utilizado por una variedad de grupos de hackers vinculados a China dificulta la atribuci\u00f3n.<\/p>\n

Se dice que hasta 100 computadoras en las organizaciones afectadas fueron infectadas, aunque la aplicaci\u00f3n Cobra DocGuard Client se instal\u00f3 en aproximadamente 2000 puntos finales, lo que sugiere un enfoque limitado.<\/p>\n

“El software malicioso se entreg\u00f3 a la siguiente ubicaci\u00f3n en las computadoras infectadas, lo que indica que un ataque a la cadena de suministro o una configuraci\u00f3n maliciosa que involucra a Cobra DocGuard es la forma en que los atacantes comprometieron las computadoras afectadas: ‘csidl_system_driveprogram filesesafenetcobra docguard clientupdate ,'”, dijo Syamtec.<\/p>\n

\"La<\/a><\/center><\/section>\n

En un caso, la infracci\u00f3n funcion\u00f3 como un conducto para implementar un descargador con un certificado firmado digitalmente de Microsoft, que posteriormente se utiliz\u00f3 para recuperar e instalar PlugX desde un servidor remoto.<\/p>\n

El implante modular brinda a los atacantes una puerta trasera secreta en las plataformas infectadas para que puedan instalar cargas \u00fatiles adicionales, ejecutar comandos, capturar pulsaciones de teclas, enumerar archivos y rastrear procesos en ejecuci\u00f3n, entre otros.<\/p>\n

Los hallazgos arrojan luz sobre el uso continuo de malware firmado por Microsoft por parte de actores de amenazas para realizar actividades posteriores a la explotaci\u00f3n y eludir las protecciones de seguridad.<\/p>\n

Dicho esto, no est\u00e1 claro d\u00f3nde tiene su sede Carderbee o cu\u00e1les son sus objetivos finales, y si tiene alguna conexi\u00f3n con Lucky Mouse. Muchos otros detalles sobre el grupo siguen sin revelarse o se desconocen.<\/p>\n

“Parece claro que los atacantes detr\u00e1s de esta actividad son actores pacientes y h\u00e1biles”, afirm\u00f3 Symantec. “Aprovechan tanto un ataque a la cadena de suministro como malware firmado para llevar a cabo su actividad en un intento de pasar desapercibidos”.<\/p>\n

“El hecho de que parezcan desplegar s\u00f3lo su carga \u00fatil en un pu\u00f1ado de ordenadores a los que obtienen acceso tambi\u00e9n indica una cierta cantidad de planificaci\u00f3n y reconocimiento por parte de los atacantes detr\u00e1s de esta actividad”.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n