{"id":968916,"date":"2023-09-25T09:50:45","date_gmt":"2023-09-25T09:50:45","guid":{"rendered":"https:\/\/teknomers.com\/es\/un-nuevo-informe-descubre-tres-grupos-distintos-de-ataques-entre-china-y-el-nexo-contra-el-gobierno-del-sudeste-asiatico\/"},"modified":"2023-09-25T09:50:50","modified_gmt":"2023-09-25T09:50:50","slug":"un-nuevo-informe-descubre-tres-grupos-distintos-de-ataques-entre-china-y-el-nexo-contra-el-gobierno-del-sudeste-asiatico","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/un-nuevo-informe-descubre-tres-grupos-distintos-de-ataques-entre-china-y-el-nexo-contra-el-gobierno-del-sudeste-asiatico\/","title":{"rendered":"Un nuevo informe descubre tres grupos distintos de ataques entre China y el Nexo contra el gobierno del Sudeste Asi\u00e1tico"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un gobierno an\u00f3nimo del Sudeste Asi\u00e1tico ha sido atacado por m\u00faltiples actores de amenazas del nexo con China como parte de campa\u00f1as de espionaje dirigidas a la regi\u00f3n durante largos per\u00edodos de tiempo.<\/p>\n<p>&#8220;Si bien esta actividad ocurri\u00f3 aproximadamente al mismo tiempo y en algunos casos incluso simult\u00e1neamente en las mismas m\u00e1quinas de las v\u00edctimas, cada grupo se caracteriza por herramientas, modus operandi e infraestructura distintos&#8221;, dijeron los investigadores de la Unidad 42 de Palo Alto Networks, Lior Rochberger, Tom Fakterman y Robert. falcone <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/analysis-of-three-attack-clusters-in-se-asia\/\" target=\"_blank\">dicho<\/a> en un informe exhaustivo de tres partes.<\/p>\n<p>Los ataques, que tuvieron como objetivo diferentes entidades gubernamentales, como infraestructura cr\u00edtica, instituciones de salud p\u00fablica, administradores de finanzas p\u00fablicas y ministerios, se han atribuido con confianza moderada a tres grupos dispares rastreados como Stately Taurus (tambi\u00e9n conocido como Mustang Panda), Alloy Taurus (tambi\u00e9n conocido como Granite Typhoon) y Gelsemium.<\/p>\n<h2 style=\"text-align: left;\">Mustang Panda usa la variante TONESHELL y ShadowPad<\/h2>\n<p>&#8220;Los atacantes llevaron a cabo una operaci\u00f3n de ciberespionaje que se centr\u00f3 en recopilar inteligencia y robar documentos e informaci\u00f3n confidenciales, mientras manten\u00edan un punto de apoyo persistente y clandestino&#8221;, dijeron los investigadores. <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/stately-taurus-attacks-se-asian-government\/\" target=\"_blank\">dicho<\/a>describi\u00e9ndolo como &#8220;altamente dirigido a objetivos e impulsado por inteligencia&#8221;.<\/p>\n<p>La actividad se extendi\u00f3 desde el segundo trimestre de 2021 hasta el tercer trimestre de 2023, aprovechando una variedad de herramientas para realizar reconocimientos, robar credenciales, mantener el acceso y realizar acciones posteriores al compromiso.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/IV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/Un-nuevo-informe-descubre-tres-grupos-distintos-de-ataques-entre.png\" width=\"729\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Algunos de los software notables utilizados para alcanzar estos objetivos incluyen el marco de escaneo de c\u00f3digo abierto LadonGo, <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/software\/S0552\/\" target=\"_blank\">B\u00fasqueda de anuncios<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/cybersecurity-101\/mimikatz\/\" target=\"_blank\">Mimikatz<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/software\/S0357\/\" target=\"_blank\">Paquete<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/software\/S0020\/\" target=\"_blank\">helic\u00f3ptero chino<\/a> web shells, Cobalt Strike, ShadowPad y una nueva versi\u00f3n de la puerta trasera TONESHELL.<\/p>\n<p>El malware evita el uso de shellcode en favor de tres componentes basados \u200b\u200ben DLL para configurar la persistencia en el punto final, establecer comunicaciones de comando y control con un servidor remoto y llevar a cabo operaciones de recopilaci\u00f3n de informaci\u00f3n, incluida la ejecuci\u00f3n de comandos y la interacci\u00f3n del sistema de archivos. , registro de teclas y captura de pantalla.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/1695635445_644_Un-nuevo-informe-descubre-tres-grupos-distintos-de-ataques-entre.jpg\" alt=\"Variante TONESHELL y ShadowPad\" border=\"0\" data-original-height=\"269\" data-original-width=\"728\" title=\"Variante TONESHELL y ShadowPad\"\/><\/div>\n<p>&#8220;Durante la operaci\u00f3n, el actor de amenazas tom\u00f3 lentamente el control de los entornos de las v\u00edctimas, centr\u00e1ndose en mantener el control para una operaci\u00f3n a largo plazo&#8221;, se\u00f1alaron los investigadores.  &#8220;El prop\u00f3sito de los esfuerzos del actor de amenazas parece ser la recopilaci\u00f3n y exfiltraci\u00f3n continua de documentos e inteligencia confidenciales&#8221;.<\/p>\n<h2 style=\"text-align: left;\">Alloy Taurus pretende pasar desapercibido<\/h2>\n<p>Se dice que el conjunto de intrusiones vinculado a Alloy Taurus comenz\u00f3 a principios de 2022 y continu\u00f3 durante todo 2023, aprovechando t\u00e9cnicas poco comunes y eludiendo productos de seguridad para lograr persistencia y reconocimiento a largo plazo.<\/p>\n<p>Estos ataques, que se producen en seis oleadas diferentes, utilizan las fallas de seguridad en los servidores Microsoft Exchange como arma para implementar shells web, que luego sirven como conducto para entregar cargas \u00fatiles adicionales, contando dos puertas traseras .NET previamente desconocidas, Zapoa y ReShell, para ejecutar comandos arbitrarios de forma remota y recolectar datos confidenciales. datos.<\/p>\n<p>Zapoa tambi\u00e9n incorpora funciones para extraer informaci\u00f3n del sistema, ejecutar shellcode, enumerar procesos en ejecuci\u00f3n, cargar m\u00e1s archivos ensamblados .NET para aumentar sus capacidades y marcar archivos y artefactos con una fecha proporcionada, una t\u00e9cnica llamada <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1070\/006\/\" target=\"_blank\">pisotear el tiempo<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/1695635445_346_Un-nuevo-informe-descubre-tres-grupos-distintos-de-ataques-entre.jpg\" alt=\"\" border=\"0\" data-original-height=\"409\" data-original-width=\"728\"\/><\/div>\n<p>&#8220;El actor de amenazas detr\u00e1s de este cl\u00faster emple\u00f3 un enfoque maduro, utilizando intrusiones de m\u00faltiples ondas y explotando vulnerabilidades en los servidores Exchange como su principal vector de penetraci\u00f3n&#8221;, afirman los investigadores. <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/alloy-taurus-targets-se-asian-government\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>En algunos casos, tambi\u00e9n se ha observado que Alloy Taurus lleva a cabo el robo de credenciales para facilitar el movimiento lateral abusando de la herramienta de administraci\u00f3n remota AnyDesk ya presente en el entorno infiltrado. <\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/ai-cyberattacks?source=inside\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>IA versus IA: aprovechar las defensas de la IA contra los riesgos impulsados \u200b\u200bpor la IA<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">\u00bfListo para afrontar nuevos desaf\u00edos de ciberseguridad impulsados \u200b\u200bpor la IA?  \u00danase a nuestro interesante seminario web con Zscaler para abordar la creciente amenaza de la IA generativa en la ciberseguridad.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/ai-cyberattacks?source=inside\" target=\"_blank\" class=\"wn-button\">Potencia tus habilidades<\/a><\/section>\n<p>Algunos de los otros programas instalados por el actor de amenazas incluyen Cobalt Strike, Quasar RAT, HDoor (una puerta trasera utilizada anteriormente por grupos chinos como <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/the-naikon-apt-and-the-msnmm-campaigns\/70029\/\" target=\"_blank\">Naikon<\/a> y Goblin Panda), una variante de Gh0st RAT conocida como <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/32572\/\" target=\"_blank\">Gh0stCringe<\/a>y <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/winnti-more-than-just-a-game\/37029\/\" target=\"_blank\">winnti<\/a>un implante multifuncional capaz de otorgar control remoto a una m\u00e1quina infectada.<\/p>\n<h2 style=\"text-align: left;\">Gelsemium destaca los servidores IIS vulnerables<\/h2>\n<p>&#8220;Este grupo \u00fanico tuvo actividad durante m\u00e1s de seis meses entre 2022 y 2023&#8221;, dijeron los investigadores. <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/rare-possible-gelsemium-attack-targets-se-asia\/\" target=\"_blank\">anotado<\/a>.<\/p>\n<p>&#8220;Presentaba una combinaci\u00f3n de herramientas y t\u00e9cnicas poco comunes que el actor de amenazas aprovech\u00f3 para ganar un punto de apoyo clandestino y recopilar inteligencia de servidores IIS sensibles que pertenecen a una entidad gubernamental en el sudeste asi\u00e1tico&#8221;.<\/p>\n<p>Las cadenas de ataque aprovechan los servidores web vulnerables para instalar shells web y distribuir puertas traseras como OwlProxy y SessionManager, mientras utilizan simult\u00e1neamente otras herramientas como Cobalt Strike, <a rel=\"nofollow noopener\" href=\"https:\/\/docs.metasploit.com\/docs\/using-metasploit\/advanced\/meterpreter\/meterpreter.html\" target=\"_blank\">medidorpreter<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/luckymouse-ndisproxy-driver\/87914\/\" target=\"_blank\">Lombriz<\/a>y <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/ly4k\/SpoolFool\" target=\"_blank\">carretetonto<\/a> para post-explotaci\u00f3n, t\u00faneles de tr\u00e1fico de comando y control y escalada de privilegios.<\/p>\n<p>OwlProxy es un proxy HTTP con funcionalidad de puerta trasera que <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/cycraft\/taiwan-government-targeted-by-multiple-cyberattacks-in-april-2020-3b20cea1dc20\" target=\"_blank\">sali\u00f3 a la luz por primera vez<\/a> en abril de 2020. SessionManager, detallado por Kaspersky en julio pasado, es una puerta trasera personalizada dise\u00f1ada para analizar el <a rel=\"nofollow noopener\" href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/HTTP\/Headers\/Cookie\" target=\"_blank\">Campo de cookies<\/a> dentro de las solicitudes HTTP entrantes para extraer los comandos emitidos por el atacante.<\/p>\n<p>&#8220;El actor de la amenaza recibi\u00f3 acceso mediante el uso de varios shells web, luego del intento de instalaci\u00f3n de m\u00faltiples tipos de malware proxy y una puerta trasera IIS&#8221;, dijeron los investigadores.  &#8220;Como algunos de los intentos del actor de amenazas de instalar malware no tuvieron \u00e9xito, siguieron entregando nuevas herramientas, mostrando su capacidad para adaptarse al proceso de mitigaci\u00f3n&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/09\/new-report-uncovers-three-distinct.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un gobierno an\u00f3nimo del Sudeste Asi\u00e1tico ha sido atacado por m\u00faltiples actores de amenazas del nexo con China<\/p>\n","protected":false},"author":1,"featured_media":968917,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,10661,2346,4661,73,4664,110,38,439,32282,372,4662,111,8177,933,4668,201033,141009,4654,201031,4659,4653,4655,480,4666,4665,201032,33628,1130,4660],"class_list":["post-968916","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-asiatico","tag-ataques","tag-ataques-ciberneticos","tag-china","tag-como-hackear","tag-contra","tag-del","tag-descubre","tag-distintos","tag-entre","tag-filtracion-de-datos","tag-gobierno","tag-grupos","tag-informe","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-nexo","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevo","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-sudeste","tag-tres","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/968916","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=968916"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/968916\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/968917"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=968916"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=968916"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=968916"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}