{"id":947195,"date":"2023-09-11T17:45:42","date_gmt":"2023-09-11T17:45:42","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-nuevo-patrocinador-de-puerta-trasera-de-charming-kitten-apunta-a-brasil-israel-y-los-emiratos-arabes-unidos\/"},"modified":"2023-09-11T17:45:46","modified_gmt":"2023-09-11T17:45:46","slug":"el-nuevo-patrocinador-de-puerta-trasera-de-charming-kitten-apunta-a-brasil-israel-y-los-emiratos-arabes-unidos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-nuevo-patrocinador-de-puerta-trasera-de-charming-kitten-apunta-a-brasil-israel-y-los-emiratos-arabes-unidos\/","title":{"rendered":"El nuevo ‘patrocinador’ de puerta trasera de Charming Kitten apunta a Brasil, Israel y los Emiratos \u00c1rabes Unidos"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>11 de septiembre de 2023<\/span>\ue804<\/i>THN<\/span><\/span>Ciberespionaje\/malware<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

El actor de amenazas iran\u00ed conocido como Charming Kitten ha sido vinculado a una nueva ola de ataques dirigidos a diferentes entidades en Brasil, Israel y los Emiratos \u00c1rabes Unidos utilizando una puerta trasera previamente indocumentada llamada Sponsor.<\/p>\n

La empresa eslovaca de ciberseguridad est\u00e1 rastreando el cl\u00faster bajo el nombre Lince bal\u00edstico<\/strong>. Los patrones de victimolog\u00eda sugieren que el grupo destaca principalmente a organizaciones educativas, gubernamentales y de atenci\u00f3n m\u00e9dica, as\u00ed como a activistas de derechos humanos y periodistas.<\/p>\n

Hasta la fecha se han detectado al menos 34 v\u00edctimas de Sponsor, y los primeros casos de despliegue se remontan a septiembre de 2021.<\/p>\n

“La puerta trasera del patrocinador utiliza archivos de configuraci\u00f3n almacenados en el disco”, investigador de ESET Adam Burgher dicho<\/a> en un nuevo informe publicado hoy. “Estos archivos se implementan discretamente mediante archivos por lotes y est\u00e1n dise\u00f1ados deliberadamente para parecer inofensivos, intentando as\u00ed evadir la detecci\u00f3n de los motores de escaneo”.<\/p>\n

PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n

Demasiado vulnerable: descubrir el estado de la superficie de ataque a la identidad<\/p>\n

<\/a><\/p>\n

\u00bfConsigui\u00f3 el MFA? \u00bfPAM? \u00bfProtecci\u00f3n de la cuenta de servicio? Descubra qu\u00e9 tan bien equipada est\u00e1 realmente su organizaci\u00f3n contra las amenazas a la identidad<\/p>\n

Potencia tus habilidades<\/a><\/section>\n

La campa\u00f1a, denominada Sponsoring Access, implica obtener acceso inicial mediante la explotaci\u00f3n oportunista de vulnerabilidades conocidas en servidores Microsoft Exchange expuestos a Internet para llevar a cabo acciones posteriores al compromiso, haci\u00e9ndose eco de un aviso emitido por Australia, el Reino Unido y los EE. UU. en noviembre de 2021.<\/p>\n

En un incidente detallado por ESET, se dice que una empresa israel\u00ed no identificada que opera un mercado de seguros fue infiltrada por el adversario en agosto de 2021 para entregar cargas \u00fatiles de la siguiente etapa, como PowerLess, Plink y una post-explotaci\u00f3n de c\u00f3digo abierto basada en Go. kit de herramientas llamado Merlin durante los pr\u00f3ximos meses.<\/p>\n

\"Malware<\/div>\n

“El agente Merl\u00edn ejecut\u00f3 un shell inverso de Meterpreter que volvi\u00f3 a llamar a un nuevo [command-and-control] servidor”, dijo Burgher. “El 12 de diciembre de 2021, el shell inverso elimin\u00f3 un archivo por lotes, install.bat, y a los pocos minutos de ejecutar el archivo por lotes, los operadores de Ballistic Bobcat impulsaron su puerta trasera m\u00e1s nueva, Sponsor”.<\/p>\n

Escrito en C++, Sponsor est\u00e1 dise\u00f1ado para recopilar informaci\u00f3n del host y procesar instrucciones recibidas de un servidor remoto, cuyos resultados se env\u00edan de vuelta al servidor. Esto incluye la ejecuci\u00f3n de comandos y archivos, la descarga de archivos y la actualizaci\u00f3n de la lista de servidores controlados por el atacante.<\/p>\n

“Ballistic Bobcat contin\u00faa operando en un modelo de escaneo y explotaci\u00f3n, buscando objetivos de oportunidad con vulnerabilidades sin parches en servidores Microsoft Exchange expuestos a Internet”, dijo Burgher. “El grupo contin\u00faa utilizando un conjunto diverso de herramientas de c\u00f3digo abierto complementado con varias aplicaciones personalizadas, incluida su puerta trasera Sponsor”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n