{"id":963721,"date":"2023-09-21T21:14:55","date_gmt":"2023-09-21T21:14:55","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-misterioso-actor-de-amenazas-sandman-apunta-a-proveedores-de-telecomunicaciones-en-tres-continentes\/"},"modified":"2023-09-21T21:14:59","modified_gmt":"2023-09-21T21:14:59","slug":"el-misterioso-actor-de-amenazas-sandman-apunta-a-proveedores-de-telecomunicaciones-en-tres-continentes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-misterioso-actor-de-amenazas-sandman-apunta-a-proveedores-de-telecomunicaciones-en-tres-continentes\/","title":{"rendered":"El misterioso actor de amenazas &#8216;Sandman&#8217; apunta a proveedores de telecomunicaciones en tres continentes"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">21 de septiembre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Seguridad de telecomunicaciones\/ataque cibern\u00e9tico<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un actor de amenazas previamente indocumentado apodado <strong>hombre de arena<\/strong> se ha atribuido a una serie de ciberataques dirigidos a proveedores de comunicaciones de telecomunicaciones en Oriente Medio, Europa occidental y el subcontinente del sur de Asia.<\/p>\n<p>En particular, las intrusiones aprovechan un compilador justo a tiempo (JIT) para el lenguaje de programaci\u00f3n Lua conocido como LuaJIT como veh\u00edculo para implementar un nuevo implante llamado <b>LuaDream<\/b>.<\/p>\n<p>&#8220;Las actividades que observamos se caracterizan por un movimiento lateral estrat\u00e9gico hacia estaciones de trabajo espec\u00edficas y un compromiso m\u00ednimo, lo que sugiere un enfoque deliberado destinado a lograr los objetivos establecidos y al mismo tiempo minimizar el riesgo de detecci\u00f3n&#8221;, dijo el investigador de seguridad de SentinelOne, Aleksandar Milenkoski. <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/sandman-apt-a-mystery-group-targeting-telcos-with-a-luajit-toolkit\/\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis publicado en colaboraci\u00f3n con QGroup.<\/p>\n<p>&#8220;La implementaci\u00f3n de LuaDream indica un proyecto bien ejecutado, mantenido y desarrollado activamente a una escala considerable.&#8221;<\/p>\n<p>Ni la campa\u00f1a ni sus t\u00e1cticas se han correlacionado con ning\u00fan actor o grupo de amenazas conocido, aunque la evidencia disponible apunta a un adversario de ciberespionaje con tendencia a apuntar al sector de las telecomunicaciones en todas las geograf\u00edas.  Los ataques se observaron por primera vez durante varias semanas en agosto de 2023. <\/p>\n<p>&#8220;La cadena de preparaci\u00f3n de LuaDream est\u00e1 dise\u00f1ada para evadir la detecci\u00f3n y frustrar el an\u00e1lisis mientras implementa el malware directamente en la memoria&#8221;, explic\u00f3 Milenkoski.  &#8220;El proceso de implementaci\u00f3n y preparaci\u00f3n de LuaDream aprovecha la plataforma LuaJIT, el compilador justo a tiempo para el lenguaje de secuencias de comandos Lua. Esto es principalmente para hacer que el c\u00f3digo de secuencias de comandos Lua malicioso sea dif\u00edcil de detectar&#8221;.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/o6a5Vxgy\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/El-malware-para-Android-Infame-Chisel-respaldado-por-el-Estado.png\" width=\"729\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Los artefactos de cadena contenidos en el c\u00f3digo fuente del implante hacen referencia al 3 de junio de 2022, lo que indica que el trabajo preparatorio ha estado en marcha durante m\u00e1s de un a\u00f1o.<\/p>\n<p>Se sospecha que LuaDream es una variante de una nueva variedad de malware denominada DreamLand por Kaspersky en su <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/apt-trends-report-q1-2023\/109581\/\" target=\"_blank\">Informe de tendencias de APT para el primer trimestre de 2023<\/a>y la empresa rusa de ciberseguridad lo describe como que emplea &#8220;el lenguaje de secuencias de comandos Lua junto con su compilador Just-in-Time (JIT) para ejecutar c\u00f3digo malicioso que es dif\u00edcil de detectar&#8221;.<\/p>\n<p>El uso de Lua es una rareza en el panorama de amenazas, ya que se ha observado previamente en tres casos diferentes desde 2012: <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/the-flame-questions-and-answers\/34344\/\" target=\"_blank\">Fuego<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/animals-in-the-apt-farm\/69114\/\" target=\"_blank\">Granja de animales<\/a> (tambi\u00e9n conocido como <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2015\/06\/30\/dino-spying-malware-analyzed\/\" target=\"_blank\">GLOBO DE NIEVE<\/a>), y <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/faq-the-projectsauron-apt\/75533\/\" target=\"_blank\">Proyecto Sauron<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/1695330895_558_El-misterioso-actor-de-amenazas-Sandman-apunta-a-proveedores-de.jpg\" alt=\"\" border=\"0\" data-original-height=\"687\" data-original-width=\"728\"\/><\/div>\n<p>El modo exacto de acceso inicial a\u00fan no est\u00e1 claro, pero se ha observado que roban credenciales administrativas y realizan reconocimientos para violar estaciones de trabajo de inter\u00e9s y, en \u00faltima instancia, entregar LuaDream.<\/p>\n<p>LuaDream, una puerta trasera modular y multiprotocolo con 13 n\u00facleos y 21 componentes de soporte, est\u00e1 dise\u00f1ada principalmente para filtrar informaci\u00f3n del sistema y del usuario, as\u00ed como para administrar complementos proporcionados por atacantes que ampl\u00edan sus funciones, como la ejecuci\u00f3n de comandos.  Tambi\u00e9n presenta varias capacidades anti-depuraci\u00f3n para evadir la detecci\u00f3n y frustrar el an\u00e1lisis.<\/p>\n<p>La comunicaci\u00f3n de comando y control (C2) se logra estableciendo contacto con un dominio llamado &#8220;mode.encagil[.]com&#8221; usando el <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/WebSocket\" target=\"_blank\">Protocolo WebSocket<\/a>.  Pero tambi\u00e9n puede escuchar conexiones entrantes a trav\u00e9s de protocolos TCP, HTTPS y QUIC.<\/p>\n<p>Los m\u00f3dulos principales implementan todas las caracter\u00edsticas antes mencionadas, mientras que los componentes de soporte son responsables de aumentar las capacidades de la puerta trasera para esperar conexiones basadas en la API del servidor HTTP de Windows y ejecutar comandos.<\/p>\n<p>&#8220;LuaDream es una ilustraci\u00f3n convincente de los continuos esfuerzos de innovaci\u00f3n y avance que los actores de amenazas de ciberespionaje vierten en su arsenal de malware en constante evoluci\u00f3n&#8221;, dijo Milenkoski.<\/p>\n<p>La divulgaci\u00f3n coincide con un informe paralelo de SentinelOne que detalla intrusiones estrat\u00e9gicas sostenidas por parte de actores de amenazas chinos en \u00c1frica, incluidas aquellas dirigidas a los sectores de telecomunicaciones, finanzas y gobierno en \u00c1frica, como parte de grupos de actividades denominados BackdoorDiplomacy, Earth Estries y Operation Tainted Love.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/itdr-saas?source=inside\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Seguridad Level-Up SaaS: una gu\u00eda completa para ITDR y SSPM<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Mant\u00e9ngase a la vanguardia con conocimientos pr\u00e1cticos sobre c\u00f3mo ITDR identifica y mitiga las amenazas.  Conozca el papel indispensable de SSPM para garantizar que su identidad siga siendo inviolable.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/itdr-saas?source=inside\" target=\"_blank\" class=\"wn-button\">Potencia tus habilidades<\/a><\/section>\n<p>El objetivo, dijo la compa\u00f1\u00eda, es extender la influencia por todo el continente y aprovechar dichas ofensivas como parte de su agenda de poder blando.<\/p>\n<p>SentinelOne dijo que detect\u00f3 un compromiso de una entidad de telecomunicaciones con sede en el norte de \u00c1frica por parte del mismo actor de amenazas detr\u00e1s de la Operaci\u00f3n Amor Contaminado, y agreg\u00f3 que el momento del ataque estuvo alineado con las negociaciones privadas de la organizaci\u00f3n para una mayor expansi\u00f3n regional.<\/p>\n<p>&#8220;Las intrusiones dirigidas por parte de la APT BackdoorDiplomacy y el grupo de amenazas que orquesta la Operaci\u00f3n Tainted Love indican una intenci\u00f3n nivelada dirigida a apoyar [China in its efforts to] dar forma a pol\u00edticas y narrativas alineadas con sus ambiciones geoestrat\u00e9gicas, estableci\u00e9ndose como una fuerza fundamental y definitoria en la evoluci\u00f3n digital de \u00c1frica&#8221;, dijo el investigador de seguridad Tom Hegel. <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/cyber-soft-power-chinas-continental-takeover\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>Tambi\u00e9n se produce d\u00edas despu\u00e9s de que Cisco Talos revelara que los proveedores de servicios de telecomunicaciones en Medio Oriente son el objetivo de un nuevo conjunto de intrusiones denominado ShroudedSnooper que emplea un conjunto de puertas traseras sigilosas llamadas HTTPSnoop y PipeSnoop.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/09\/mysterious-sandman-threat-actor-targets.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80221 de septiembre de 2023\ue804THNSeguridad de telecomunicaciones\/ataque cibern\u00e9tico Un actor de amenazas previamente indocumentado apodado hombre de arena<\/p>\n","protected":false},"author":1,"featured_media":963722,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[1702,4657,4656,8898,2490,4661,4664,49573,4662,4668,201033,11644,4654,201031,4659,4653,4655,4052,65773,4666,4665,201032,34366,1130,4660],"class_list":["post-963721","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actor","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-amenazas","tag-apunta","tag-ataques-ciberneticos","tag-como-hackear","tag-continentes","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-misterioso","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-proveedores","tag-sandman","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-telecomunicaciones","tag-tres","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/963721","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=963721"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/963721\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/963722"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=963721"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=963721"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=963721"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}