{"id":960261,"date":"2023-09-19T20:14:43","date_gmt":"2023-09-19T20:14:43","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-nueva-puerta-trasera-sprysocks-linux-de-earth-lusca-esta-dirigida-a-entidades-gubernamentales\/"},"modified":"2023-09-19T20:14:47","modified_gmt":"2023-09-19T20:14:47","slug":"la-nueva-puerta-trasera-sprysocks-linux-de-earth-lusca-esta-dirigida-a-entidades-gubernamentales","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-nueva-puerta-trasera-sprysocks-linux-de-earth-lusca-esta-dirigida-a-entidades-gubernamentales\/","title":{"rendered":"La nueva puerta trasera SprySOCKS Linux de Earth Lusca est\u00e1 dirigida a entidades gubernamentales"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">19 de septiembre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Seguridad de terminales\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>El actor de amenazas vinculado a China conocido como <strong>Tierra Lusca<\/strong> Se ha observado que apunta a entidades gubernamentales utilizando una puerta trasera de Linux nunca antes vista llamada SprySOCKS.<\/p>\n<p>Earth Lusca fue documentado por primera vez por Trend Micro en enero de 2022, y detalla los ataques del adversario contra entidades del sector p\u00fablico y privado en Asia, Australia, Europa y Am\u00e9rica del Norte.<\/p>\n<p>Activo desde 2021, el grupo se ha basado en ataques de phishing y abrevadero para llevar a cabo sus esquemas de ciberespionaje.  Algunas actividades del grupo se superponen con otro grupo de amenazas rastreado por Recorded Future bajo el nombre de RedHotel.<\/p>\n<p>Los \u00faltimos hallazgos de la firma de ciberseguridad muestran que Earth Lusca contin\u00faa siendo un grupo activo, incluso ampliando sus operaciones para apuntar a organizaciones de todo el mundo durante la primera mitad de 2023.<\/p>\n<p>Los objetivos principales incluyen departamentos gubernamentales involucrados en asuntos exteriores, tecnolog\u00eda y telecomunicaciones.  Los ataques se concentran en el sudeste asi\u00e1tico, Asia central y los Balcanes.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/o6a5Vxgy\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/El-nuevo-troyano-SuperBear-surge-en-un-ataque-de-phishing.png\" width=\"729\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Las secuencias de infecci\u00f3n comienzan con la explotaci\u00f3n de fallas de seguridad conocidas en Fortinet p\u00fablico (CVE-2022-39952 y CVE-2022-40684), GitLab (CVE-2021-22205), Microsoft Exchange Server (ProxyShell), Progress Telerik UI (CVE). -2019-18935) y servidores Zimbra (CVE-2019-9621 y CVE-2019-9670) para soltar proyectiles web y entregar Cobalt Strike para movimiento lateral.<\/p>\n<p>&#8220;El grupo tiene la intenci\u00f3n de exfiltrar documentos y credenciales de cuentas de correo electr\u00f3nico, as\u00ed como implementar a\u00fan m\u00e1s puertas traseras avanzadas como ShadowPad y la versi\u00f3n Linux de <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/elf.winnti\" target=\"_blank\">winnti<\/a> llevar a cabo actividades de espionaje a largo plazo contra sus objetivos&#8221;, afirmaron los investigadores de seguridad Joseph C. Chen y Jaromir Horejsi. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/i\/earth-lusca-employs-new-linux-backdoor.html\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>Tambi\u00e9n se ha observado que el servidor utilizado para entregar Cobalt Strike y Winnti aloja SprySOCKS, que tiene sus ra\u00edces en la puerta trasera de c\u00f3digo abierto de Windows. <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.trochilus_rat\" target=\"_blank\">tr\u00f3quilo<\/a>.  Vale la pena se\u00f1alar que el uso de Trochilus se ha relacionado en el pasado con un grupo de hackers chinos llamado Webworm.<\/p>\n<p>Cargado mediante una variante de un componente de inyector ELF conocido como <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/ixty\/mandibule\" target=\"_blank\">mand\u00edbula<\/a>SprySOCKS est\u00e1 equipado para recopilar informaci\u00f3n del sistema, iniciar un shell interactivo, crear y finalizar el proxy SOCKS y realizar diversas operaciones de archivos y directorios.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/itdr-saas?source=inside\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Seguridad Level-Up SaaS: una gu\u00eda completa para ITDR y SSPM<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Mant\u00e9ngase a la vanguardia con conocimientos pr\u00e1cticos sobre c\u00f3mo ITDR identifica y mitiga las amenazas.  Conozca el papel indispensable de SSPM para garantizar que su identidad siga siendo inviolable.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/itdr-saas?source=inside\" target=\"_blank\" class=\"wn-button\">Potencia tus habilidades<\/a><\/section>\n<p>La comunicaci\u00f3n de comando y control (C2) consiste en paquetes enviados a trav\u00e9s del protocolo TCP (Protocolo de control de transmisi\u00f3n), que refleja una estructura utilizada por un <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.jpcert.or.jp\/en\/2017\/04\/redleaves---malware-based-on-open-source-rat.html\" target=\"_blank\">troyano basado en Windows<\/a> denominado <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/17\/g\/chessmaster-cyber-espionage-campaign.html\" target=\"_blank\">Hojas rojas<\/a>se dice que est\u00e1 construido sobre Trochilus.<\/p>\n<p>Hasta la fecha se han identificado al menos dos muestras diferentes de SprySOCKS (versiones 1.1 y 1.3.6), lo que sugiere que los atacantes modifican continuamente el malware para agregar nuevas funciones.<\/p>\n<p>&#8220;Es importante que las organizaciones gestionen proactivamente su superficie de ataque, minimizando los posibles puntos de entrada a su sistema y reduciendo la probabilidad de una infracci\u00f3n exitosa&#8221;, dijeron los investigadores.<\/p>\n<p>&#8220;Las empresas deben aplicar parches peri\u00f3dicamente y actualizar sus herramientas, software y sistemas para garantizar su seguridad, funcionalidad y rendimiento general&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/09\/earth-luscas-new-sprysocks-linux.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80219 de septiembre de 2023\ue804THNSeguridad de terminales\/malware El actor de amenazas vinculado a China conocido como Tierra Lusca<\/p>\n","protected":false},"author":1,"featured_media":960262,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,8317,25237,32556,97,4662,20465,4668,201033,18038,206005,4654,201031,4659,4653,4655,212,1732,4666,4665,201032,206004,7157,4660],"class_list":["post-960261","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-dirigida","tag-earth","tag-entidades","tag-esta","tag-filtracion-de-datos","tag-gubernamentales","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-linux","tag-lusca","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nueva","tag-puerta","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-sprysocks","tag-trasera","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/960261","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=960261"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/960261\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/960262"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=960261"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=960261"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=960261"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}