L’azienda violata ha tra i propri clienti enti governativi e militari. Gli aggressori hanno colpito i server interni e gli strumenti di terze parti utilizzati. Danneggiati anche due clienti. Rilevato un nuovo downloader che ESET ha denominato ShadowPy
ESET, leader globale nel mercato della cybersecurity, ha scoperto la violazione di un’azienda di data-loss prevention (DLP) ubicata in Asia orientale. Durante l’intrusione, gli aggressori hanno distribuito almeno tre tipologie di malware e compromesso i server di aggiornamento interni e gli strumenti di terze parti utilizzati dalla vittima. A seguito della violazione sono stati compromessi anche i server di due clienti dell’azienda. ESET attribuisce la campagna al gruppo APT Tick. In base al profilo del gruppo si suppone che scopo dell’attacco fosse il cyber-spionaggio. Il portafoglio clienti dell’azienda DLP include infatti enti governativi e militari, rendendola appetibile per un gruppo APT come Tick.
“Gli aggressori hanno violato i server di aggiornamento interni dell’azienda DLP per distribuire malware nella rete dell’azienda stessa e hanno intaccato con dei trojan gli installer di strumenti legittimi di terze parti utilizzati internamente, che alla fine hanno portato all’esecuzione di malware sui computer dei clienti”, spiega Facundo Muñoz, ricercatore ESET, che ha scoperto l’ultima operazione di Tick. “Durante l’intrusione, gli aggressori hanno distribuito un downloader precedentemente non documentato, che abbiamo chiamato ShadowPy, e hanno anche distribuito la backdoor Netboy (alias Invader) e il downloader Ghostdown”, aggiunge Muñoz.
L’attacco iniziale risale a marzo 2021 ed è stato subito notificato all’azienda da ESET. Nel 2022, la telemetria del vendor ha registrato l’esecuzione di codice dannoso nelle reti di due clienti dell’azienda compromessa. Poiché gli installer affetti da trojan sono stati trasferiti tramite un software di assistenza remota, ESET ipotizza che la trasmissione sia avvenuta mentre l’azienda di DLP forniva assistenza tecnica. Gli aggressori hanno anche violato due server di aggiornamento interni, che hanno fornito ai sistemi presenti all’interno della rete aziendale degli aggiornamenti dannosi per il software sviluppato dall’azienda in due occasioni.
Il downloader ShadowPy, precedentemente non documentato, è stato sviluppato in Python e viene caricato attraverso una versione personalizzata del progetto open source py2exe. ShadowPy contatta un server remoto da cui riceve nuovi script Python che vengono decifrati ed eseguiti. La versione precedente della backdoor Netboy supporta 34 comandi, tra cui la raccolta di informazioni sul sistema, l’eliminazione di file, il download e l’esecuzione di programmi, l’acquisizione di schermate comandi del mouse e della tastiera.
Tick (noto anche come BRONZE BUTLER o REDBALDKNIGHT) è un gruppo APT che si ritiene sia attivo almeno dal 2006 e che prende di mira principalmente i Paesi della regione APAC. Questo gruppo è noto per le sue operazioni di cyber-spionaggio, che si concentrano sul furto di informazioni riservate e proprietà intellettuale. Tick impiega un esclusivo toolset malware progettato per l’accesso persistente alle apparecchiature compromesse, la ricognizione, l’esfiltrazione dei dati e il download di strumenti.
Ulteriori informazioni in merito alle tecniche utilizzate nell’ultima campagna di Tick, sono disponibili in questo articolo “The slow Tick-ing time bomb: Tick APT group compromise of a DLP software developer in East Asia” su WeLiveSecurity.
