Hackers de China apuntan a militares y gobiernos vietnamitas

Hackers de China apuntan a militares y gobiernos vietnamitas

Un grupo de hackers relacionado con un actor de amenazas de habla china ha sido vinculado a una campaña avanzada de ciberespionaje dirigida al gobierno y organizaciones militares en Vietnam.

Los ataques han sido atribuidos con baja confianza a la avanzada amenaza persistente (APT) llamada Cycldek (o Goblin Panda, Hellsing, APT 27 y Conimes), que es conocida por usar técnicas de spear-phishing para comprometer objetivos diplomáticos en el sudeste asiático, India y Estados Unidos al menos desde 2013.

Según los investigadores de Kaspersky, la ofensiva, que se observó entre junio de 2020 y enero de 2021, aprovecha un método llamado DLL side-loading para ejecutar shellcode que descifra una carga útil final apodada“FoundCore”.

La carga lateral dll ha sido una técnica probada utilizada por varios actores de amenazas como una táctica de ofuscación para eludir las defensas antivirus. Mediante la carga de archivos DLL maliciosos en ejecutables legítimos, la idea es enmascarar su actividad maliciosa bajo un sistema de confianza o proceso de software.

En esta cadena de infección revelada por Kaspersky, un componente legítimo de Microsoft Outlook carga una biblioteca maliciosa llamada “outlib.dll”, que “secuestra el flujo de ejecución previsto del programa para decodificar y ejecutar un shellcode colocado en un archivo binario, rdmin.src.”

Además, el malware viene con una capa adicional diseñada explícitamente para proteger el código del análisis de seguridad y dificultar el ingeniería inversa. Para lograr esto, el actor de amenaza detrás del malware se dice que ha limpiado la mayor parte del encabezadode la carga útil, mientras que dejando el resto con valores incoherentes.

Kaspersky dijo que el método “indica un gran avance en la sofisticación para los atacantes en esta región”.

Además de dar a los atacantes control total sobre el dispositivo comprometido, FoundCore viene con capacidades para ejecutar comandos para la manipulación del sistema de archivos, manipulación de procesos, captura de capturas de pantalla y ejecución arbitraria de comandos. Las infecciones que involucran FoundCore también se encontraron para descargar dos malware adicional. El primero, DropPhone, recopila información relacionada con el entorno de la máquina víctima y la exfiltra a DropBox, mientras que el segundo, CoreLoader, ejecuta código que permite al malware frustrar la detección por productos de seguridad.

La firma de ciberseguridad teorizó los ataques originados con una campaña de spear-phishing u otras infecciones precursoras, que desencadenan la descarga de documentos RTF señuelo de un sitio web falso, lo que en última instancia conduce al despliegue de FoundCore.

Entre decenas de organizaciones afectadas, el 80% de ellas tienen su sede en Vietnam y pertenecen al gobierno o al sector militar, o están relacionadas de otro modo con la salud, la diplomacia, la educación o las verticales políticas, con otras víctimas, ocasionalmente detectadas en Asia Central y Tailandia.

“No importa qué grupo orquestó esta campaña, constituye un importante paso adelante en términos de sofisticación”, concluyeron los investigadores. “Aquí, han añadido muchas más capas de ofuscación e ingeniería inversa significativamente complicada.”

“Y esto indica que estos grupos pueden estar buscando expandir sus actividades. En este momento, puede parecer que esta campaña es más una amenaza local, pero es muy probable que la puerta trasera FoundCore se encuentre en más países de diferentes regiones en el futuro”, dijo mark Lechtik, investigador principal de seguridad de Kaspersky.

Fuente: Hackers From China Target Vietnamese Military and Government (thehackernews.com)

Ver Imagen ocultando la url con PHP

Ver Imagen ocultando la url con PHP

El día de hoy necesitaba cargar una imagen pero que no se vea su ubicación real, leyendo y leyendo info obviamente de PHP me encontré con la funcion chunk_split() el cual se relaciona con base64_encode, el cual nos permite codificar en base64 la imagen y así mostrarla como si hicieras un simple <img src=”imagen.jpg”>

El código para esta función es:


// Seleccionamos la imagen que queremos codificar, también puedes poner la dirección donde se encuentra la 
imagen $imagen = file_get_contents("path + mi_imagen.jpg");
//Codificamos la imagen en base64 
$imagen_base64 = chunk_split(base64_encode($imagen));
// Para mostrar la imagen codificada sería lo siguiente 
echo '< img src="data:image/jpg;base64,'.$imagen_base64.'" />';

Se vería así:

[view_image64 type=jpg]2016/01/lluvia-1.jpg[/view_image64]

voilà!

Con eso tenemos la imagen, en codificación base64 sin necesidad de mostrar la url real de dicha imagen.

Saludos! 😀

Función Obtener IP en YII Framework Components

Función Obtener IP en YII Framework Components

Hola, hace rato no posteaba nada, he estado con hartas cosas he ahí el motivo, ahora les mostraré una función que utilizo en mis sistemas creados en YII para obtener la IP de quien se logea o realiza alguna acción en el sistemilla.

Es bastante sencilla y solo hay que alojarla en un nuevo archivo que se debe crear en la carpeta components obviamente que esta clase debe ser extención de controladores globales.

En la carpeta Components creado el siguiente archivo llamado Funcion.php (en realidad el nombre que deseen ponerle al archivo), el cual tendría el siguiente contenido.

<?php
class Funcion extends CController
{
  public static function obtenerIP()
  {
     if(!empty($_SERVER['HTTP_X_FORWARDED_FOR']))
     {
        $client_ip = ( !empty($_SERVER['REMOTE_ADDR']) ) ? $_SERVER['REMOTE_ADDR'] : ( ( !empty($_ENV['REMOTE_ADDR']) ) ? $_ENV['REMOTE_ADDR'] : "unknown" );
        $entries = preg_split('/[, ]/', $_SERVER['HTTP_X_FORWARDED_FOR']);
   
        reset($entries);
        while (list(, $entry) = each($entries)) {
           $entry = trim($entry);
           if ( preg_match("/^([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)/", $entry, $ip_list) ) {
              $private_ip = array(
                    '/^0\./', 
                    '/^127\.0\.0\.1/', 
                    '/^192\.168\..*/', 
                    '/^172\.((1[6-9])|(2[0-9])|(3[0-1]))\..*/', 
                    '/^10\..*/');
              $found_ip = preg_replace($private_ip, $client_ip, $ip_list[1]);
              if ($client_ip != $found_ip){
                 $client_ip = $found_ip;
                 break;
              }
           }
        }
     } else { $client_ip = ( !empty($_SERVER['REMOTE_ADDR']) ) ? $_SERVER['REMOTE_ADDR'] : ( ( !empty($_ENV['REMOTE_ADDR']) ) ? $_ENV['REMOTE_ADDR'] : "unknown" ); }
     return $client_ip;
  }
}
?>

Ahora para llamar la función es simple desde el controllador agregas la siguiente línea:

$model->ip = Funcion::ObtenerIP();

Y estaríamos listo.

Saludos! 😀

Listar los archivos de una carpeta en PHP

Listar los archivos de una carpeta en PHP

PHP

Con el script que  muestro a continuación se podrá ver el contenido de una carpeta, todos sus archivos y carpetas que tenga dentro.

Lo que se hace es revisar la carpeta actual, recorrer a través de un while el contenido y verificados si este es un archivo o carpeta, si es carpeta lo dejamos entre corchetes [], así hacemos la diferencia con los archivos, que se encuentran en la carpeta.

Este es script es bastante básico y simple pero nos ayuda a como verificar y obtener el contenido de una carpeta en PHP asi de como recorrerlo.

<?php
$carpeta = opendir("."); // Ruta actual
while ($archivo = readdir($carpeta)) // Leemos la carpeta obteniendo uno a uno los archivos existentes
{
    if (is_dir($archivo)) // Aquí vemos si es o no una carpeta
    {
        echo "[".$archivo . "]<br />"; // Si es una carpeta lo dejamos entre corchetes
    else
    {
        echo $archivo . "<br />";
    }
}
?>

Este script obviamente se puede mejorar agregando una tabla o iconos etc.   Espero en algún momento les sirva.

Saludos 😀