Onderzoekers van ESET ontdekten een compromis bij een Oost-Aziatisch bedrijf ter voorkoming van gegevensverlies (Data Loss Prevention -DLP). Tijdens de inbraak hebben de aanvallers minstens drie malwarefamilies ingezet. Interne updateservers en tools van derden die door het getroffen bedrijf worden gebruikt, werden gecompromitteerd. Hierdoor werden twee klanten van het bedrijf gecompromitteerd: overheids- en miloitaire organisaties.
· Onderzoekers van ESET hebben een aanval ontdekt in het netwerk van een Oost-Aziatisch bedrijf dat gegevensverlies voorkomt en overheids- en militaire organisaties als klanten heeft.
· Onderzoekers van ESET schrijven deze aanval met grote zekerheid toe aan de Tick APT-groep.
· Het doel van deze aanval was hoogstwaarschijnlijk cyberspionage.
· De aanvallers hebben minstens drie malwarefamilies ingezet. Ze hebben interne updateservers en tools van derden die door het bedrijf gebruikt worden, gecompromitteerd. Twee van hun klanten werden hierdoor gecompromitteerd.
· Het onderzoek onthulde een nog niet gedocumenteerde downloader, die ShadowPy werd genaamd.
BRATISLAVA, MONTREAL — 14 maart 2023 — Onderzoekers van ESET ontdekten een compromis bij een Oost-Aziatisch bedrijf ter voorkoming van gegevensverlies (Data Loss Prevention -DLP). Tijdens de inbraak hebben de aanvallers minstens drie malwarefamilies ingezet. Interne updateservers en tools van derden die door het getroffen bedrijf worden gebruikt, werden gecompromitteerd. Hierdoor werden twee klanten van het bedrijf gecompromitteerd. ESET schrijft de campagne met veel vertrouwen toe aan APT-groep Tick. Volgens het profiel van Tick was het doel van de aanval hoogstwaarschijnlijk cyberspionage. De klantenportefeuille van het DLP-bedrijf omvat overheids- en militaire organisaties. Het gecompromitteerde bedrijf is dus een bijzonder aantrekkelijk doelwit voor een APT-groep zoals Tick.
“De aanvallers hebben de interne updateservers van het DLP-bedrijf gecompromitteerd om malware binnen het netwerk van de softwareontwikkelaar in te brengen, en trojaniseerden installatieprogramma’s van legitieme tools van derden die het bedrijf gebruikt. Dit resulteerde in de uitvoering van malware op de computers van zijn klanten”, zegt Facundo Muñoz, de ESET-onderzoeker die de nieuwste operatie van Tick ontdekte. “Tijdens de inbraak gebruikten de aanvallers een nog niet gedocumenteerde downloader, die we ShadowPy hebben genoemd, de Netboy backdoor (aka Invader) alsook de Ghostdown-downloader.”
De eerste aanval dateert van maart 2021. ESET bracht het bedrijf hiervan op de hoogte. In 2022 registreerde de ESET-telemetrie de uitvoering van kwaadaardige code in de netwerken van twee klanten van het gecompromitteerde bedrijf. Daar getrojaniseerde installatieprogramma’s werden ingevoerd via software voor ondersteuning op afstand. ESET veronderstelt dat dit gebeurde terwijl het DLP-bedrijf technische ondersteuning bood. De aanvallers compromoteerden ook twee interne updateservers, die twee maal kwaadaardige updates voor de door het DLP-bedrijf ontwikkelde software hebben afgeleverd op machines binnen het netwerk van dit bedrijf.
ShadowPy, de nog niet gedocumenteerde downloader, is in Python ontwikkeld en wordt geladen via een aangepaste versie van het open source-project py2exe (http://www.py2exe.org/). ShadowPy maakt contact met een externe server waarvan het nieuwe Python-scripts ontvangt die gedecodeerd en uitgevoerd worden. De oudere Netboy backdoor ondersteunt 34 commando‘s, zoals het verzamelen van systeeminformatie, het verwijderen van een bestand, het downloaden en uitvoeren van programma’s, het uitvoeren van schermopnamen en muis- en toetsenbordacties aangevraagd door zijn controller.
Tick (ook als BRONZE BUTLER of REDBALDKNIGHT bekend) is een APT-groep actief sinds minstens 2006, die zich voornamelijk richt op landen in de APAC-regio. Deze groep is interessant door zijn cyberspionage gericht op het stelen van geheime informatie en intellectueel eigendom. Tick gebruikt een exclusieve op maat gemaakte, malware-toolset ontworpen voor permanente toegang tot gecompromitteerde machines, verkenning, data-exfiltratie en het downloaden van tools.
Voor meer technische informatie over deze campagne, lees de blog The slow Tick-ing time bomb: Tick APT group compromise of a DLP software developer in East Asia op WeLiveSecurity. Volg ESET Research on Twitter voor de nieuwste info over ESET Research.