{"id":966308,"date":"2023-09-23T11:36:43","date_gmt":"2023-09-23T11:36:43","guid":{"rendered":"https:\/\/teknomers.com\/es\/deadglyph-nueva-puerta-trasera-avanzada-con-tacticas-de-malware-distintivas\/"},"modified":"2023-09-23T11:36:47","modified_gmt":"2023-09-23T11:36:47","slug":"deadglyph-nueva-puerta-trasera-avanzada-con-tacticas-de-malware-distintivas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/deadglyph-nueva-puerta-trasera-avanzada-con-tacticas-de-malware-distintivas\/","title":{"rendered":"Deadglyph: nueva puerta trasera avanzada con t\u00e1cticas de malware distintivas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">23 de septiembre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Ciberespionaje\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Investigadores de ciberseguridad han descubierto una puerta trasera avanzada no documentada previamente denominada <strong>glifo muerto<\/strong> empleado por un actor de amenazas conocido como Stealth Falcon como parte de una campa\u00f1a de ciberespionaje.<\/p>\n<p>&#8220;La arquitectura de Deadglyph es inusual ya que consta de componentes que cooperan: uno es un binario x64 nativo y el otro un ensamblado .NET&#8221;, ESET <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/stealth-falcon-preying-middle-eastern-skies-deadglyph\/\" target=\"_blank\">dicho<\/a> en un <a rel=\"nofollow noopener\" href=\"https:\/\/www.labscon.io\/speakers\/filip-jurcacko\/\" target=\"_blank\">nuevo reporte<\/a> compartido con The Hacker News.<\/p>\n<p>&#8220;Esta combinaci\u00f3n es inusual porque el malware normalmente utiliza s\u00f3lo un lenguaje de programaci\u00f3n para sus componentes. Esta diferencia podr\u00eda indicar un desarrollo separado de esos dos componentes y al mismo tiempo aprovechar caracter\u00edsticas \u00fanicas de los distintos lenguajes de programaci\u00f3n que utilizan&#8221;.<\/p>\n<p>Tambi\u00e9n se sospecha que el uso de diferentes lenguajes de programaci\u00f3n es una t\u00e1ctica deliberada para dificultar el an\u00e1lisis, lo que hace que sea mucho m\u00e1s dif\u00edcil navegar y depurar.<\/p>\n<p>A diferencia de otras puertas traseras tradicionales de este tipo, los comandos se reciben de un servidor controlado por un actor en forma de m\u00f3dulos adicionales que le permiten crear nuevos procesos, leer archivos y recopilar informaci\u00f3n de los sistemas comprometidos.<\/p>\n<p>Stealth Falcon (tambi\u00e9n conocido como FruityArmor) fue <a rel=\"nofollow noopener\" href=\"https:\/\/citizenlab.ca\/2016\/05\/stealth-falcon\/\" target=\"_blank\">primero expuesto<\/a> por Citizen Lab en 2016, vincul\u00e1ndolo con una serie de ataques de software esp\u00eda dirigidos en el Medio Oriente dirigidos a periodistas, activistas y disidentes en los Emiratos \u00c1rabes Unidos utilizando se\u00f1uelos de phishing que incorporan enlaces con trampas explosivas que apuntan a documentos macro para ofrecer un Implante personalizado capaz de ejecutar comandos arbitrarios.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/o6a5Vxgy\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/El-nuevo-troyano-SuperBear-surge-en-un-ataque-de-phishing.png\" width=\"729\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Una investigaci\u00f3n posterior realizada por Reuters en 2019 revel\u00f3 una operaci\u00f3n clandestina llamada Proyecto Raven que involucraba a un grupo de ex agentes de inteligencia estadounidenses que fueron reclutados por una empresa de ciberseguridad llamada DarkMatter para espiar objetivos cr\u00edticos con la monarqu\u00eda \u00e1rabe.<\/p>\n<p>Se cree que Stealth Falcon y Project Raven son el mismo grupo debido a las superposiciones en t\u00e1cticas y objetivos.<\/p>\n<p>Desde entonces, el grupo ha sido vinculado a la explotaci\u00f3n de d\u00eda cero de fallas de Windows como CVE-2018-8611 y CVE-2019-0797, con Mandiant. <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/zero-day-exploitation-demonstrates-access-to-money-not-skill\" target=\"_blank\">observando en abril de 2020<\/a> que el actor de espionaje &#8220;utiliz\u00f3 m\u00e1s d\u00edas cero que cualquier otro grupo&#8221; de 2016 a 2019. <\/p>\n<p>En 2019, ESET detall\u00f3 el uso por parte del adversario de una puerta trasera llamada Win32\/StealthFalcon que utilizaba el Servicio de transferencia inteligente en segundo plano (BITS) de Windows para comunicaciones de comando y control (C2) y para obtener el control completo de un punto final.<\/p>\n<p>Deadglyph es la \u00faltima incorporaci\u00f3n al arsenal de Stealth Falcon, seg\u00fan la firma eslovaca de ciberseguridad, que analiz\u00f3 una intrusi\u00f3n en una entidad gubernamental no identificada en Medio Oriente.<\/p>\n<p>Actualmente se desconoce el m\u00e9todo exacto utilizado para colocar el implante, pero el componente inicial que activa su ejecuci\u00f3n es un cargador de c\u00f3digo shell que extrae y carga el c\u00f3digo shell del Registro de Windows, que posteriormente lanza el m\u00f3dulo x64 nativo de Deadglyph, conocido como Ejecutor.<\/p>\n<p>Luego, el Ejecutor procede a cargar un componente .NET conocido como Orquestador que, a su vez, se comunica con el servidor de comando y control (C2) para esperar m\u00e1s instrucciones.  El malware tambi\u00e9n realiza una serie de maniobras evasivas para pasar desapercibido, contando con la capacidad de desinstalarse.<\/p>\n<p>Los comandos recibidos del servidor se ponen en cola para su ejecuci\u00f3n y pueden clasificarse en una de tres categor\u00edas: tareas del orquestador, tareas del ejecutor y tareas de carga.<\/p>\n<p>&#8220;Las tareas del ejecutor ofrecen la capacidad de administrar la puerta trasera y ejecutar m\u00f3dulos adicionales&#8221;, dijo ESET.  &#8220;Las tareas del orquestador ofrecen la posibilidad de gestionar la configuraci\u00f3n de los m\u00f3dulos de Red y Temporizador, y tambi\u00e9n cancelar tareas pendientes&#8221;.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/ai-cyberattacks?source=inside\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>IA versus IA: aprovechar las defensas de la IA contra los riesgos impulsados \u200b\u200bpor la IA<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">\u00bfListo para afrontar nuevos desaf\u00edos de ciberseguridad impulsados \u200b\u200bpor la IA?  \u00danase a nuestro interesante seminario web con Zscaler para abordar la creciente amenaza de la IA generativa en la ciberseguridad.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/ai-cyberattacks?source=inside\" target=\"_blank\" class=\"wn-button\">Potencia tus habilidades<\/a><\/section>\n<p>Algunas de las tareas identificadas del Ejecutor comprenden la creaci\u00f3n de procesos, el acceso a archivos y la recopilaci\u00f3n de metadatos del sistema.  El m\u00f3dulo Temporizador se utiliza para sondear peri\u00f3dicamente el servidor C2 en combinaci\u00f3n con el m\u00f3dulo de Red, que implementa las comunicaciones C2 mediante solicitudes HTTPS POST.<\/p>\n<p>Cargar tareas, como su nombre lo indica, permite que la puerta trasera cargue la salida de comandos y errores.<\/p>\n<p>ESET dijo que tambi\u00e9n identific\u00f3 un panel de control (<a rel=\"nofollow noopener\" href=\"https:\/\/support.microsoft.com\/en-gb\/topic\/description-of-control-panel-cpl-files-4dc809cd-5063-6c6d-3bee-d3f18b2e0176\" target=\"_blank\">CPL<\/a>) que se subi\u00f3 a VirusTotal desde Qatar, que se dice que funcion\u00f3 como punto de partida para una cadena de varias etapas que allana el camino para un descargador de shellcode que comparte algunas semejanzas de c\u00f3digo con Deadglyph.<\/p>\n<p>Si bien la naturaleza del c\u00f3digo shell recuperado del servidor C2 a\u00fan no est\u00e1 clara, se ha teorizado que el contenido podr\u00eda servir como instalador del malware Deadglyph.<\/p>\n<p>Deadglifo recibe su nombre de los artefactos encontrados en la puerta trasera (ID hexadecimales 0xDEADB001 y 0xDEADB101 para el m\u00f3dulo Temporizador y su configuraci\u00f3n), junto con la presencia de un ataque de homoglifos que se hace pasar por Microsoft (&#8220;\u03faicr\u043es\u043eft Corp\u043erati\u043en&#8221;) en el cargador de shellcode del Registro. <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/menurc\/versioninfo-resource\" target=\"_blank\">recurso VERSIONINFO<\/a>.<\/p>\n<p>&#8220;Deadglyph cuenta con una variedad de mecanismos de contradetecci\u00f3n, incluido el monitoreo continuo de los procesos del sistema y la implementaci\u00f3n de patrones de red aleatorios&#8221;, dijo la compa\u00f1\u00eda.  &#8220;Adem\u00e1s, la puerta trasera es capaz de desinstalarse sola para minimizar la probabilidad de ser detectada en ciertos casos&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/09\/deadglyph-new-advanced-backdoor-with.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80223 de septiembre de 2023\ue804THNCiberespionaje\/malware Investigadores de ciberseguridad han descubierto una puerta trasera avanzada no documentada previamente denominada<\/p>\n","protected":false},"author":1,"featured_media":966309,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,26499,4664,99,206736,206737,4662,4668,201033,4669,4654,201031,4659,4653,4655,212,1732,4666,4665,201032,11334,7157,4660],"class_list":["post-966308","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-avanzada","tag-como-hackear","tag-con","tag-deadglyph","tag-distintivas","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nueva","tag-puerta","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-tacticas","tag-trasera","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/966308","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=966308"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/966308\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/966309"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=966308"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=966308"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=966308"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}