{"id":985004,"date":"2023-10-06T12:27:43","date_gmt":"2023-10-06T12:27:43","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-chinos-atacan-a-las-empresas-de-semiconductores-en-el-este-de-asia-con-un-ataque-de-cobalto\/"},"modified":"2023-10-06T12:27:47","modified_gmt":"2023-10-06T12:27:47","slug":"los-piratas-informaticos-chinos-atacan-a-las-empresas-de-semiconductores-en-el-este-de-asia-con-un-ataque-de-cobalto","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-chinos-atacan-a-las-empresas-de-semiconductores-en-el-este-de-asia-con-un-ataque-de-cobalto\/","title":{"rendered":"Los piratas inform\u00e1ticos chinos atacan a las empresas de semiconductores en el este de Asia con un ataque de cobalto"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>06 de octubre de 2023<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Ataque cibern\u00e9tico\/malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha observado que los actores de amenazas apuntan a empresas de semiconductores en el este de Asia con se\u00f1uelos disfrazados de Taiwan Semiconductor Manufacturing Company (TSMC) que est\u00e1n dise\u00f1ados para entregar balizas Cobalt Strike.<\/p>\n

El conjunto de intrusi\u00f3n, por Ecl\u00e9cticoIQ<\/a>aprovecha una puerta trasera llamada HyperBro, que luego se utiliza como conducto para implementar el software de simulaci\u00f3n de ataques comerciales y el conjunto de herramientas posteriores a la explotaci\u00f3n.<\/p>\n

Se dice que una secuencia de ataque alternativa utiliz\u00f3 un descargador de malware previamente no documentado para implementar Cobalt Strike, lo que indica que los actores de la amenaza idearon m\u00faltiples enfoques para infiltrarse en objetivos de inter\u00e9s.<\/p>\n

La empresa holandesa de ciberseguridad atribuy\u00f3 la campa\u00f1a a un actor de amenazas vinculado a China debido al uso de HyperBro, que ha sido utilizado casi exclusivamente por un actor de amenazas conocido como Lucky Mouse (tambi\u00e9n conocido como APT27, Budworm y Emissary Panda).<\/p>\n

Tambi\u00e9n se han descubierto superposiciones t\u00e1cticas entre el adversario detr\u00e1s de los ataques y otro grupo rastreado por RecordedFuture bajo el nombre de RedHotel, que tambi\u00e9n se superpone con un equipo de pirater\u00eda llamado Earth Lusca.<\/p>\n

\"La<\/a><\/center><\/div>\n

Otra conexi\u00f3n china proviene del uso de un servidor web Cobra DocGuard probablemente comprometido para alojar archivos binarios de segunda etapa, incluido un implante basado en Go denominado ChargeWeapon, para su distribuci\u00f3n a trav\u00e9s del descargador.<\/p>\n

“ChargeWeapon est\u00e1 dise\u00f1ado para obtener acceso remoto y enviar informaci\u00f3n del dispositivo y de la red desde un host infectado a un atacante controlado [command-and-control] servidor”, dijo el investigador de EclecticIQ Arda B\u00fcy\u00fckkaya en un an\u00e1lisis del jueves.<\/p>\n

Vale la pena se\u00f1alar que una versi\u00f3n troyanizada del software de cifrado Cobra DocGuard de EsafeNet tambi\u00e9n se ha vinculado al despliegue de PlugX, y Symantec lo vincula a un presunto actor del nexo con China con nombre en c\u00f3digo Carderbee.<\/p>\n

En la cadena de ataque documentada por EclecticIQ, un documento PDF con el tema de TSMC se muestra como se\u00f1uelo despu\u00e9s de la ejecuci\u00f3n de HyperBro, lo que indica el uso de t\u00e9cnicas de ingenier\u00eda social para activar la infecci\u00f3n.<\/p>\n

\"Golpe<\/a><\/div>\n

“Al presentar un PDF de aspecto normal mientras se ejecuta de forma encubierta malware en segundo plano, se minimizan las posibilidades de que la v\u00edctima sospeche”, explic\u00f3 B\u00fcy\u00fckkaya.<\/p>\n

Un aspecto notable del ataque es que la direcci\u00f3n del servidor C2 codificada en la baliza Cobalt Strike est\u00e1 disfrazada de una CDN jQuery leg\u00edtima en un esfuerzo por eludir las defensas del firewall.<\/p>\n

La divulgaci\u00f3n se produce cuando el Financial Times reportado<\/a> que la agencia belga de inteligencia y seguridad, el Servicio de Seguridad del Estado (VSSE), est\u00e1 trabajando para “detectar y luchar contra posibles actividades de espionaje y\/o injerencia llevadas a cabo por entidades chinas, incluida Alibaba” en el aeropuerto de carga de Lieja del pa\u00eds.<\/p>\n

\"La<\/a><\/center><\/div>\n

Alibaba ha negado haber actuado mal.<\/p>\n

“Las actividades de China en B\u00e9lgica no se limitan al cl\u00e1sico esp\u00eda que roba secretos de Estado o al hacker que paraliza una industria esencial o un departamento gubernamental detr\u00e1s de su PC”, dijo la agencia. anotado<\/a> en un informe de inteligencia. “En un intento de influir en los procesos de toma de decisiones, China utiliza una variedad de recursos estatales y no estatales”.<\/p>\n

Un informe publicado por el Departamento de Defensa (DoD) de EE. UU. el mes pasado describi\u00f3 China<\/a> como una “amenaza de ciberespionaje amplia y generalizada”, y que roba secretos tecnol\u00f3gicos y emprende esfuerzos de vigilancia para obtener una ventaja estrat\u00e9gica.<\/p>\n

“Utilizando medios cibern\u00e9ticos, la Rep\u00fablica Popular China ha participado en campa\u00f1as prolongadas de espionaje, robo y compromiso contra redes de defensa clave y una infraestructura cr\u00edtica m\u00e1s amplia de EE. UU., especialmente la Base Industrial de Defensa (DIB)”, dijo el Departamento de Defensa. dicho<\/a>.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n