Todas las Noticias en Pel√≠culas, Avances de Pel√≠culas y Rese√Īas.

Symantec revela el grupo de hackers Witchetty, respaldado por China, que apunta a √Āfrica y Medio Oriente: ¬ŅC√≥mo?

El equipo de cazadores de amenazas de Symantec de Broadcom ha publicado una alerta que muestra que los grupos de hackers Witchetty y LookingFrog, respaldados por China, est√°n empleando conjuntos de herramientas mejorados para atacar entidades en √Āfrica y Medio Oriente.

ESET encontr√≥ la organizaci√≥n por primera vez en abril de 2022. Sus operaciones se distinguen por utilizar una puerta trasera de primera etapa (X4) y una carga √ļtil de segunda etapa (LookBack).

T√°cticas de ataque de Witchetty respaldadas por China reveladas en un aviso de Symantec

Seg√ļn el an√°lisis de Symantec, Witchetty est√° vinculado a la organizaci√≥n china APT Cicada, tambi√©n conocida como Stone Panda, y APT10, as√≠ como a TA410. Esta organizaci√≥n ya ha sido vinculada a ataques selectivos contra empresas energ√©ticas estadounidenses.

El conjunto de herramientas del grupo está en constante evolución. Actualmente emplea una técnica esteganográfica para ocultar una puerta trasera (Backdoor.Stegmap) bajo el logotipo de Microsoft Windows y apunta a países de Medio Oriente.

Aunque no es novedoso, se trata de un enfoque inusual en el que se oculta un virus dentro de una imagen. El virus puede eliminar y crear carpetas, manipular archivos, iniciar/terminar procesos, ejecutar/descargar ejecutables, enumerar y eliminar procesos y robar datos, entre otras cosas. También tiene la capacidad de crear, leer y eliminar claves de registro.

Cicada estaba apuntando a organizaciones japonesas a principios de este a√Īo, pero ahora parece haber ampliado su lista de objetivos para incluir Am√©rica del Norte, Asia y Europa.

‚ÄúUn cargador de DLL descarga un archivo de mapa de bits desde un repositorio de GitHub. El archivo parece ser simplemente un antiguo logotipo de Microsoft Windows. Sin embargo, la carga √ļtil est√° oculta dentro del archivo y se descifra con una clave XOR‚ÄĚ. lee el an√°lisis publicado por investigadores de Symantec Threat Hunter de Broadcom. ‚ÄúDisfrazar la carga √ļtil de esta manera permiti√≥ a los atacantes alojarla en un servicio gratuito y confiable.

Witchetty ha demostrado la capacidad de perfeccionar y actualizar continuamente su conjunto de herramientas para comprometer objetivos de inter√©s. La explotaci√≥n de vulnerabilidades en servidores p√ļblicos le proporciona una ruta hacia las organizaciones, mientras que las herramientas personalizadas combinadas con el uso experto de t√°cticas de subsistencia le permiten mantener una presencia persistente a largo plazo en las organizaciones objetivo‚ÄĚ.

-Symantec

Detalles del ataque

La cadena de infecci√≥n incluye el uso de un cargador de DLL para obtener el archivo de mapa de bits de GitHub, que es un logotipo de Microsoft Windows con c√≥digo malicioso incrustado en su interior. Este m√©todo de ocultar la carga √ļtil permite a los atacantes alojarla en servicios gratuitos y confiables como GitHub.

Recomendado:  C√≥mo redactar un plan de negocios en 2023: la gu√≠a definitiva para todo emprendedor

Entre febrero y septiembre de 2022, Witchetty atacó las administraciones de dos países de Oriente Medio, así como la bolsa de valores de un país africano. El grupo aprovechó las vulnerabilidades ProxyShell y ProxyLogon, que fueron identificadas como CVE-2021-31207, CVE-2021-34473, CVE-2021-34523, CVE-2021-26855 y CVE-2021-27065.

Seg√ļn Broadcom entrada en el bloglos atacantes instalan web shells en computadoras de acceso p√ļblico antes de obtener credenciales y obtener movimiento lateral de la red.

Tambi√©n colocaron malware en las computadoras en un intento de robar contrase√Īas mediante volcados de memoria, la implementaci√≥n de shells web y puertas traseras, la ejecuci√≥n de comandos, la implementaci√≥n de puertas traseras y la instalaci√≥n de herramientas personalizadas. Esta estrategia le permite infiltrarse en las redes organizacionales, y la combinaci√≥n de herramientas personalizadas con otras estrategias de subsistencia le permite mantener la persistencia a largo plazo en las organizaciones objetivo.

“Witchetty ha demostrado la capacidad de perfeccionar y actualizar continuamente su conjunto de herramientas para comprometer objetivos de inter√©s”, afirma Symantec.

Si disfrut√≥ de este contenido, aseg√ļrese de consultar nuestros art√≠culos Hackers de hackers vanguardistas Fast Company, Zoom Mac Vulnerability y Microsoft Word que permiten una puerta trasera para hackers.

¬ŅQu√© es Symantec?

La corporación de software estadounidense NortonLifeLock Inc., anteriormente Symantec Corporation, tiene su sede en Tempe, Arizona. La empresa ofrece servicios y software para ciberseguridad. NortonLifeLock, empresa Fortune 500, forma parte del índice bursátil S&P 500.

Tabla de Contenido