Исследование ESET: кибершпионская группа Tick взломала разработчика программного обеспечения для предотвращения потери данных в Восточной Азии

Исследователи ESET обнаружили компрометацию восточноазиатской компании по предотвращению потери данных (DLP). Во время вторжения злоумышленники развернули как минимум три семейства вредоносных программ и скомпрометировали внутренние серверы обновлений и сторонние инструменты, используемые пострадавшей компанией. В результате впоследствии были скомпрометированы два клиента компании. ESET с высокой степенью достоверности связывает кампанию с группой Tick APT. Судя по профилю Тика, целью атаки, скорее всего, был кибершпионаж. В портфель клиентов DLP-компании входят правительственные и военные организации, что делает скомпрометированную компанию особенно привлекательной целью для APT-группы, такой как Tick.

 На момент публикации данного материала имеются частичные ограничения использования и поставки Программного Обеспечения ESET NOD32 в Российской Федерации. Для уточнения возможности купить или продлить лицензию ESET NOD32 отправьте запрос Поставщику (заполните Форму в конце статьи).
Рекомендуем запросить консультацию по подбору ИТ-Решений, аналогичного функционала из числа доступных Российских и Иностранных Производителей (предложение по Программе ИМПОРТОЗАМЕЩЕНИЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ).

- Исследователи ESET обнаружили атаку, произошедшую в сети восточноазиатской компании по предотвращению потери данных, клиентский портфель которой включает государственные и военные организации.
- Исследователи ESET с большой уверенностью связывают эту атаку с группой Tick APT.
- Целью атаки, скорее всего, был кибершпионаж.
- Злоумышленники развернули как минимум три семейства вредоносных программ и скомпрометировали внутренние серверы обновлений и сторонние инструменты, используемые компанией. В результате два их клиента были скомпрометированы.
- В ходе расследования был обнаружен ранее незадокументированный загрузчик ESET под названием ShadowPy.



«Злоумышленники скомпрометировали внутренние серверы обновлений компании DLP для доставки вредоносного ПО в сеть разработчика программного обеспечения, а также троянизировали установщики легитимных сторонних инструментов, используемых компанией, что в конечном итоге привело к запуску вредоносного ПО на компьютерах ее клиентов», — говорится в сообщении. Исследователь ESET Факундо Муньос, обнаруживший последнюю операцию Тика. «Во время вторжения злоумышленники развернули ранее недокументированный загрузчик, который мы назвали ShadowPy, а также развернули бэкдор Netboy (он же Invader) и загрузчик Ghostdown», — добавляет Муньос.

Первоначальная атака произошла в марте 2021 года, и ESET уведомила компанию о компрометации. В 2022 году телеметрия ESET зафиксировала выполнение вредоносного кода в сетях двух скомпрометированных клиентов компании. Поскольку троянские установщики передавались через программное обеспечение для удаленной поддержки, ESET Research предполагает, что это произошло, когда компания DLP оказывала техническую поддержку. Злоумышленники также скомпрометировали два внутренних сервера обновлений, которые дважды доставляли вредоносные обновления для программного обеспечения, разработанного этой компанией DLP, на машины внутри сети компании DLP.
Ранее недокументированный загрузчик ShadowPy был разработан на Python и загружается через настроенную версию проекта с открытым исходным кодом py2exe.. ShadowPy связывается с удаленным сервером, откуда получает новые скрипты Python, которые расшифровываются и выполняются. Старый бэкдор Netboy поддерживает 34 команды, включая сбор системной информации, удаление файла, загрузку и выполнение программ, выполнение захвата экрана и выполнение событий мыши и клавиатуры, запрошенных его контроллером.
Tick ​​(также известная как BRONZE BUTLER или REDBALDKNIGHT) — это APT-группа, которая, как считается, действует по крайней мере с 2006 года и в основном нацелена на страны региона APAC. Эта группа представляет интерес для своих операций кибершпионажа, которые сосредоточены на краже секретной информации и интеллектуальной собственности. Tick ​​использует эксклюзивный специализированный набор вредоносных программ, предназначенный для постоянного доступа к скомпрометированным машинам, разведки, кражи данных и загрузки инструментов.