{"id":991640,"date":"2023-10-10T21:00:00","date_gmt":"2023-10-10T21:00:00","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-investigadores-descubren-la-campana-de-ataque-en-curso-de-grayling-apt-en-todas-las-industrias\/"},"modified":"2023-10-10T21:00:04","modified_gmt":"2023-10-10T21:00:04","slug":"los-investigadores-descubren-la-campana-de-ataque-en-curso-de-grayling-apt-en-todas-las-industrias","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-investigadores-descubren-la-campana-de-ataque-en-curso-de-grayling-apt-en-todas-las-industrias\/","title":{"rendered":"Los investigadores descubren la campa\u00f1a de ataque en curso de Grayling APT en todas las industrias"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">10 de octubre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Ataque cibern\u00e9tico\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/Los-investigadores-descubren-la-campana-de-ataque-en-curso-de.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Un actor de amenazas previamente indocumentado y de procedencia desconocida ha sido vinculado a una serie de ataques dirigidos a organizaciones de los sectores de fabricaci\u00f3n, TI y biom\u00e9dico en Taiw\u00e1n.<\/p>\n<p>El equipo Symantec Threat Hunter, parte de Broadcom, atribuy\u00f3 los ataques a una amenaza persistente avanzada (APT) que rastrea con el nombre <strong>t\u00edmalo<\/strong>.  La evidencia muestra que la campa\u00f1a comenz\u00f3 en febrero de 2023 y continu\u00f3 al menos hasta mayo de 2023.<\/p>\n<p>Tambi\u00e9n es probable que el objetivo de la actividad sea una agencia gubernamental ubicada en las islas del Pac\u00edfico, as\u00ed como entidades en Vietnam y Estados Unidos.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/moon-i-3.1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/1696226553_73_El-troyano-bancario-Zanubis-para-Android-se-hace-pasar-por.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Esta actividad se destac\u00f3 debido al uso por parte de Grayling de una t\u00e9cnica distintiva de carga lateral de DLL que utiliza un descifrador personalizado para implementar cargas \u00fatiles&#8221;, dijo la compa\u00f1\u00eda. <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/grayling-taiwan-cyber-attacks\" target=\"_blank\">dicho<\/a> en un informe compartido con The Hacker News.  &#8220;La motivaci\u00f3n que impulsa esta actividad parece ser la recopilaci\u00f3n de inteligencia&#8221;.<\/p>\n<p>Se dice que el punto de apoyo inicial en los entornos de las v\u00edctimas se logr\u00f3 mediante la explotaci\u00f3n de la infraestructura p\u00fablica, seguida del despliegue de shells web para el acceso persistente.<\/p>\n<p>Luego, las cadenas de ataque aprovechan la carga lateral de DLL mediante <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/sandboxie-plus\/sandboxie-docs\/blob\/main\/Content\/SBIEDLLAPI.md\" target=\"_blank\">SbieDll_Hook<\/a> para cargar una variedad de cargas \u00fatiles, incluidas Cobalt Strike, NetSpy y el marco Havoc, junto con otras herramientas como Mimikatz.  Tambi\u00e9n se ha observado que Grayling mata todos los procesos enumerados en un archivo llamado Processlist.txt.<\/p>\n<p>La carga lateral de DLL es una <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/002\/\" target=\"_blank\">t\u00e9cnica popular<\/a> utilizado por una variedad de actores de amenazas para eludir las soluciones de seguridad y enga\u00f1ar al sistema operativo Windows para que ejecute c\u00f3digo malicioso en el punto final de destino.<\/p>\n<p>Esto es a menudo <a rel=\"nofollow noopener\" href=\"https:\/\/www.cybereason.com\/blog\/threat-analysis-report-dll-side-loading-widely-abused\" target=\"_blank\">logrado<\/a> colocando una DLL maliciosa con el mismo nombre que una DLL leg\u00edtima utilizada por una aplicaci\u00f3n en una ubicaci\u00f3n donde se cargar\u00e1 antes que la DLL real aprovechando la <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/dlls\/dynamic-link-library-search-order\" target=\"_blank\">Mecanismo de orden de b\u00fasqueda de DLL<\/a>.<\/p>\n<p>&#8220;Los atacantes toman varias acciones una vez que obtienen acceso inicial a las computadoras de las v\u00edctimas, incluyendo aumento de privilegios, escaneo de red y uso de descargadores&#8221;, dijo Symantec.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/cis-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/1696134768_108_Los-anuncios-de-chat-de-Bing-impulsados-\u200b\u200bpor-IA-de.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Vale la pena se\u00f1alar que el uso de carga lateral de DLL con respecto a SbieDll_Hook y SandboxieBITS.exe se observ\u00f3 anteriormente en el caso de Naikon APT en ataques dirigidos a organizaciones militares en el sudeste asi\u00e1tico.<\/p>\n<p>Symantec dijo a The Hacker News que no encontr\u00f3 superposiciones entre Grayling y Naikon, pero se\u00f1al\u00f3 que &#8220;la carga lateral de DLL es una t\u00e9cnica bastante com\u00fan para los actores APT en estos d\u00edas, particularmente entre los actores que operan fuera de China&#8221;.<\/p>\n<p>No hay evidencia que sugiera que el adversario haya participado en alguna forma de exfiltraci\u00f3n de datos hasta la fecha, lo que sugiere que los motivos est\u00e1n m\u00e1s orientados al reconocimiento y la recopilaci\u00f3n de inteligencia.<\/p>\n<p>El uso de herramientas disponibles p\u00fablicamente se considera un intento de complicar los esfuerzos de atribuci\u00f3n, mientras que la terminaci\u00f3n del proceso indica que la evasi\u00f3n de detecci\u00f3n es una prioridad para permanecer fuera del radar durante largos per\u00edodos de tiempo.<\/p>\n<p>&#8220;El fuerte ataque a las organizaciones taiwanesas indica que probablemente operen desde una regi\u00f3n con un inter\u00e9s estrat\u00e9gico en Taiw\u00e1n&#8221;, a\u00f1adi\u00f3 la compa\u00f1\u00eda.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/10\/researchers-uncover-grayling-apts.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80210 de octubre de 2023\ue804Sala de redacci\u00f3nAtaque cibern\u00e9tico\/malware Un actor de amenazas previamente indocumentado y de procedencia desconocida<\/p>\n","protected":false},"author":1,"featured_media":991641,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,26597,1247,4661,3372,4664,6312,6073,4662,209444,18331,12583,4668,246,201033,36,4654,201031,4659,4653,4655,4666,4665,201032,3531,4660],"class_list":["post-991640","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apt","tag-ataque","tag-ataques-ciberneticos","tag-campana","tag-como-hackear","tag-curso","tag-descubren","tag-filtracion-de-datos","tag-grayling","tag-industrias","tag-investigadores","tag-la-seguridad-informatica","tag-las","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-todas","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/991640","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=991640"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/991640\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/991641"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=991640"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=991640"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=991640"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}