Un actor de amenazas llamado mosca roja<\/strong> ha sido vinculado a un compromiso de una red nacional ubicada en un pa\u00eds asi\u00e1tico an\u00f3nimo durante seis meses a principios de este a\u00f1o utilizando un conocido malware denominado ShadowPad.<\/p>\n “Los atacantes lograron robar credenciales y comprometer varias computadoras en la red de la organizaci\u00f3n”, dijo el equipo Symantec Threat Hunter, parte de Broadcom. dicho<\/a> en un informe compartido con The Hacker News. “El ataque es el \u00faltimo de una serie de intrusiones de espionaje contra [critical national infrastructure] objetivos.”<\/p>\n ShadowPad, tambi\u00e9n conocido como PoisonPlug, es una continuaci\u00f3n del troyano de acceso remoto PlugX y es un implante modular capaz de cargar complementos adicionales din\u00e1micamente desde un servidor remoto seg\u00fan sea necesario para recopilar datos confidenciales de redes violadas.<\/p>\n Ha sido ampliamente utilizado<\/a> por una lista cada vez mayor de nexo china<\/a> grupos de estados-naci\u00f3n desde al menos 2019 en ataques dirigidos a organizaciones en diversos sectores verticales de la industria.<\/p>\n “ShadowPad se descifra en la memoria utilizando un algoritmo de descifrado personalizado”, se\u00f1al\u00f3 Secureworks Counter Threat Unit (CTU) en febrero de 2022. “ShadowPad extrae informaci\u00f3n sobre el host, ejecuta comandos, interact\u00faa con el sistema de archivos y el registro, e implementa nuevos m\u00f3dulos para ampliar funcionalidad.”<\/p>\n Se dice que la primera se\u00f1al de un ataque dirigido a la entidad asi\u00e1tica se registr\u00f3 el 23 de febrero de 2023, cuando se ejecut\u00f3 ShadowPad en una sola computadora, seguido de la ejecuci\u00f3n de la puerta trasera tres meses despu\u00e9s, el 17 de mayo.<\/p>\n Tambi\u00e9n se implement\u00f3 casi al mismo tiempo una herramienta llamada Packerloader que se usa para ejecutar shellcode arbitrario, us\u00e1ndolo para modificar permisos para un archivo de controlador conocido como dump_diskfs.sys para otorgar acceso a todos los usuarios, lo que aumenta la posibilidad de que el controlador se haya utilizado para cree volcados del sistema de archivos para su posterior filtraci\u00f3n.<\/p>\n Adem\u00e1s, se ha observado que los actores de amenazas ejecutan comandos de PowerShell para recopilar informaci\u00f3n sobre los dispositivos de almacenamiento conectados al sistema, volcar credenciales del Registro de Windows y, al mismo tiempo, borrar registros de eventos de seguridad de la m\u00e1quina.<\/p>\n “El 29 de mayo, los atacantes regresaron y utilizaron una versi\u00f3n renombrada de ProcDump (nombre de archivo: alg.exe) para volcar las credenciales de LSASS”, dijo Symantec. “El 31 de mayo, se utiliza una tarea programada para ejecutar oleview.exe, que probablemente realizar\u00e1 carga lateral y movimiento lateral”.<\/p>\n Se sospecha que Redfly utiliz\u00f3 credenciales robadas para propagar la infecci\u00f3n a otras m\u00e1quinas dentro de la red. Despu\u00e9s de una pausa de casi dos meses, el adversario reapareci\u00f3 en escena para instalar un keylogger el 27 de julio y nuevamente extraer credenciales de LSASS y el Registro el 3 de agosto.<\/p>\n Symantec dijo que la campa\u00f1a comparte superposiciones de infraestructura y herramientas con actividades previamente identificadas atribuidas al grupo patrocinado por el estado chino conocido como APT41<\/a> (tambi\u00e9n conocido como Winnti), y Redly se centra casi exclusivamente en apuntar a entidades de infraestructura cr\u00edtica.<\/p>\n Demasiado vulnerable: descubrir el estado de la superficie de ataque a la identidad<\/p>\n <\/a><\/p>\n \u00bfConsigui\u00f3 el MFA? \u00bfPAM? \u00bfProtecci\u00f3n de la cuenta de servicio? Descubra qu\u00e9 tan bien equipada est\u00e1 realmente su organizaci\u00f3n contra las amenazas a la identidad<\/p>\n Potencia tus habilidades<\/a><\/section>\n Sin embargo, no hay pruebas de que el grupo de hackers haya llevado a cabo ning\u00fan ataque perturbador hasta la fecha.<\/p>\n “Los actores amenazadores que mantienen una presencia persistente a largo plazo en una red nacional presentan un claro riesgo de ataques dise\u00f1ados para interrumpir el suministro de energ\u00eda y otros servicios vitales en otros estados durante tiempos de mayor tensi\u00f3n pol\u00edtica”, dijo la compa\u00f1\u00eda.<\/p>\n El desarrollo se produce cuando Microsoft revel\u00f3 que actores afiliados a China est\u00e1n perfeccionando los medios visuales generados por IA para usarlos en operaciones de influencia dirigidas a los EE. UU., as\u00ed como para “llevar a cabo la recopilaci\u00f3n de inteligencia y la ejecuci\u00f3n de malware contra gobiernos e industrias regionales” en la regi\u00f3n del Mar de China Meridional. desde principios de a\u00f1o.<\/p>\n “Tif\u00f3n de frambuesa [formerly Radium] apunta constantemente a ministerios gubernamentales, entidades militares y entidades corporativas conectadas a infraestructura cr\u00edtica, particularmente telecomunicaciones”, el gigante tecnol\u00f3gico dicho<\/a>. “Desde enero de 2023, el tif\u00f3n Raspberry ha sido especialmente persistente”.<\/p>\n Otros objetivos incluyen la base industrial de defensa de EE. UU. (Circle Typhoon \/ DEV-0322, Mulberry Typhoon \/ Manganese y Volt Typhoon \/ DEV-0391), infraestructura cr\u00edtica de EE. UU., entidades gubernamentales en Europa y EE. UU. (Storm-0558) y Taiw\u00e1n ( Tif\u00f3n de carb\u00f3n \/ Tif\u00f3n de cromo y lino \/ Tormenta-0919).<\/p>\n Tambi\u00e9n sigue un informe<\/a> del Atlantic Council que una ley china obliga a las empresas que operan en el pa\u00eds a revelar fallas de seguridad en sus productos al Ministerio de Industria y Tecnolog\u00eda de la Informaci\u00f3n (MIIT) permite<\/a> al pa\u00eds para almacenar las vulnerabilidades y ayudar a los piratas inform\u00e1ticos estatales a “aumentar el ritmo, el \u00e9xito y el alcance de las operaciones”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/El-nuevo-troyano-SuperBear-surge-en-un-ataque-de-phishing.png\")
<\/a><\/center><\/section>\n