{"id":929414,"date":"2023-08-31T10:44:49","date_gmt":"2023-08-31T10:44:49","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-campana-de-espionaje-de-earth-estries-se-dirige-a-gobiernos-y-titanes-tecnologicos-en-todos-los-continentes\/"},"modified":"2023-08-31T10:44:53","modified_gmt":"2023-08-31T10:44:53","slug":"la-campana-de-espionaje-de-earth-estries-se-dirige-a-gobiernos-y-titanes-tecnologicos-en-todos-los-continentes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-campana-de-espionaje-de-earth-estries-se-dirige-a-gobiernos-y-titanes-tecnologicos-en-todos-los-continentes\/","title":{"rendered":"La campa\u00f1a de espionaje de Earth Estries se dirige a gobiernos y titanes tecnol\u00f3gicos en todos los continentes"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>31 de agosto de 2023<\/span>\ue804<\/i>THN<\/span><\/span>Ataque cibern\u00e9tico \/ pirater\u00eda<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Un equipo de hackers apodado Estries de la Tierra<\/strong> se ha atribuido a una nueva campa\u00f1a de ciberespionaje en curso dirigida a industrias gubernamentales y tecnol\u00f3gicas con sede en Filipinas, Taiw\u00e1n, Malasia, Sud\u00e1frica, Alemania y Estados Unidos.<\/p>\n

“Los actores de amenazas detr\u00e1s de Earth Estries est\u00e1n trabajando con recursos de alto nivel y funcionando con habilidades sofisticadas y experiencia en ciberespionaje y actividades il\u00edcitas”, dijeron los investigadores de Trend Micro Ted Lee, Lenart Bermejo, Hara Hiroaki, Leon M Chang y Gilbert Sison. dicho<\/a>.<\/p>\n

Activo desde al menos 2020, se dice que Earth Estries comparte superposiciones t\u00e1cticas con otro grupo de estado-naci\u00f3n rastreado como FamousSparrow, que ESET expuso por primera vez en 2021 por explotar las fallas de ProxyLogon en Microsoft Exchange Server para penetrar en la hoteler\u00eda, el gobierno, la ingenier\u00eda y el \u00e1mbito legal. sectores.<\/p>\n

\"La<\/a><\/center><\/section>\n

Vale la pena se\u00f1alar que tambi\u00e9n se han descubierto puntos en com\u00fan entre FamousSparrow y UNC4841, un grupo de actividades categorizado responsable del uso de armas como arma. Fallo de d\u00eda cero recientemente revelado<\/a> en dispositivos Barracuda Networks Email Security Gateway (ESG).<\/p>\n

Las cadenas de ataques documentadas por Trend Micro muestran que el adversario est\u00e1 aprovechando Cobalt Strike para realizar una post-explotaci\u00f3n de entornos comprometidos, tras lo cual act\u00faa r\u00e1pidamente para implementar malware adicional y ampliar su presencia.<\/p>\n

\"Estries<\/div>\n

Se ha observado que el adversario emplea un arsenal de puertas traseras y herramientas de pirater\u00eda, incluidas puertas traseras, ladrones de datos del navegador y esc\u00e1neres de puertos para mejorar la recopilaci\u00f3n de datos.<\/p>\n

Esto incluye Zingdoor, un implante basado en Go para capturar informaci\u00f3n del sistema, enumerar y administrar archivos y ejecutar comandos arbitrarios; TrillClient, un ladr\u00f3n personalizado escrito en Go para desviar datos de los navegadores web; y HemiGate, una puerta trasera que puede registrar pulsaciones de teclas, tomar capturas de pantalla, realizar operaciones con archivos y monitorear procesos.<\/p>\n

\"La<\/a><\/center><\/section>\n

Lo que da m\u00e1s legitimidad a los motivos de espionaje del adversario es su propensi\u00f3n a limpiar y volver a implementar peri\u00f3dicamente sus puertas traseras en el host infectado en un intento de reducir el riesgo de exposici\u00f3n y detecci\u00f3n.<\/p>\n

\"Estries<\/div>\n

“Earth Estries depende en gran medida de Carga lateral de DLL<\/a> para cargar varias herramientas dentro de su arsenal”, dijeron los investigadores. “Para dejar la menor huella posible, utilizan ataques de degradaci\u00f3n de PowerShell para evitar la detecci\u00f3n del mecanismo de registro de Windows Antimalware Scan Interface (AMSI)”.<\/p>\n

Otro aspecto significativo del modus operandi es el abuso de servicios p\u00fablicos como Github, Gmail, AnonFiles y File.io para intercambiar o transferir comandos y datos robados. La mayor\u00eda de los servidores de comando y control (C2) est\u00e1n ubicados en EE. UU., India, Australia, Canad\u00e1, China, Jap\u00f3n, Finlandia, Sud\u00e1frica y el Reino Unido.<\/p>\n

“Al comprometer los servidores internos y las cuentas v\u00e1lidas, los actores de amenazas pueden realizar movimientos laterales dentro de la red de la v\u00edctima y llevar a cabo sus actividades maliciosas de forma encubierta”, dijeron los investigadores. “Tambi\u00e9n utilizan t\u00e9cnicas como ataques de degradaci\u00f3n de PowerShell y novedosas combinaciones de carga lateral de DLL para evadir la detecci\u00f3n”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n