{"id":994036,"date":"2023-10-12T09:00:55","date_gmt":"2023-10-12T09:00:55","guid":{"rendered":"https:\/\/teknomers.com\/es\/investigadores-descubren-ataques-en-curso-dirigidos-a-gobiernos-asiaticos-y-gigantes-de-las-telecomunicaciones\/"},"modified":"2023-10-12T09:00:59","modified_gmt":"2023-10-12T09:00:59","slug":"investigadores-descubren-ataques-en-curso-dirigidos-a-gobiernos-asiaticos-y-gigantes-de-las-telecomunicaciones","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/investigadores-descubren-ataques-en-curso-dirigidos-a-gobiernos-asiaticos-y-gigantes-de-las-telecomunicaciones\/","title":{"rendered":"Investigadores descubren ataques en curso dirigidos a gobiernos asi\u00e1ticos y gigantes de las telecomunicaciones"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>12 de octubre de 2023<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Ataque cibern\u00e9tico\/malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Entidades gubernamentales y de telecomunicaciones de alto perfil en Asia han sido atacadas como parte de una campa\u00f1a en curso desde 2021 que est\u00e1 dise\u00f1ada para implementar puertas traseras y cargadores b\u00e1sicos para entregar malware de la siguiente etapa.<\/p>\n

La empresa de ciberseguridad Check Point est\u00e1 rastreando la actividad bajo el nombre Sobreviviendo<\/strong>. Los objetivos incluyen organizaciones ubicadas en Vietnam, Uzbekist\u00e1n, Pakist\u00e1n y Kazajst\u00e1n.<\/p>\n

“La naturaleza simplista de las herramientas […] y su amplia variaci\u00f3n sugiere que son desechables, utilizados principalmente para descargar y ejecutar cargas \u00fatiles adicionales”, dicho<\/a> en un informe publicado el mi\u00e9rcoles. “Estas herramientas no comparten c\u00f3digos claros con productos creados por actores conocidos y no tienen mucho en com\u00fan entre s\u00ed”.<\/p>\n

\"La<\/a><\/center><\/div>\n

Lo notable de la campa\u00f1a es que la infraestructura las acciones se superponen<\/a> con el utilizado por ToddyCat, un actor de amenazas vinculado a China conocido por orquestar ataques cibern\u00e9ticos contra agencias gubernamentales y militares en Europa y Asia desde al menos diciembre de 2020.<\/p>\n

Las cadenas de ataques comienzan con un correo electr\u00f3nico de phishing que contiene un archivo ZIP adjunto con un ejecutable leg\u00edtimo que aprovecha la carga lateral de DLL para cargar una puerta trasera llamada CurKeep mediante una DLL maliciosa dal_keepalives.dll presente en el archivo.<\/p>\n

CurlKeep est\u00e1 dise\u00f1ado para enviar informaci\u00f3n sobre el host comprometido a un servidor remoto, ejecutar comandos enviados por el servidor y escribir respuestas del servidor en un archivo del sistema.<\/p>\n

\"\"<\/a><\/div>\n

Un examen m\u00e1s detenido de la infraestructura de comando y control (C2) ha revelado un arsenal en constante evoluci\u00f3n de variantes de cargador denominadas CurLu, CurCore y CurLog que son capaces de recibir archivos DLL, ejecutar comandos remotos e iniciar un proceso asociado con una nueva Archivo generado en el que se escriben los datos del servidor.<\/p>\n

\"La<\/a><\/center><\/div>\n

Tambi\u00e9n se descubri\u00f3 un implante pasivo llamado StylerServ que escucha en cinco puertos diferentes (60810, 60811, 60812, 60813 y 60814) para aceptar una conexi\u00f3n remota y recibir un archivo de configuraci\u00f3n cifrado.<\/p>\n

Si bien no hay evidencia concluyente que conecte Stayin’ Alive con ToddyCat, los hallazgos muestran que ambos conjuntos de intrusiones utilizan la misma infraestructura para perseguir un conjunto similar de objetivos.<\/p>\n

“El uso de cargadores y descargadores desechables, como se observa en esta campa\u00f1a, se est\u00e1 volviendo m\u00e1s com\u00fan incluso entre actores sofisticados”, afirm\u00f3 Check Point. “El uso de herramientas desechables dificulta los esfuerzos de detecci\u00f3n y atribuci\u00f3n, ya que se reemplazan con frecuencia y posiblemente se escriben desde cero”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n