ESET, leader globale nel mercato della cybersecurity, ha scoperto la violazione di un'azienda di data-loss prevention (DLP) ubicata in Asia orientale. Durante l'intrusione, gli aggressori hanno distribuito almeno tre tipologie di malware e compromesso i server di aggiornamento interni e gli strumenti di terze parti utilizzati dalla vittima. A seguito della violazione sono stati compromessi anche i server di due clienti dell’azienda. ESET attribuisce la campagna al gruppo APT Tick. In base al profilo del gruppo si suppone che scopo dell’attacco fosse il cyber-spionaggio. Il portafoglio clienti dell'azienda DLP include infatti enti governativi e militari, rendendola appetibile per un gruppo APT come Tick.
"Gli aggressori hanno violato i server di aggiornamento interni dell'azienda DLP per distribuire malware nella rete dell’azienda stessa e hanno intaccato con dei trojan gli installer di strumenti legittimi di terze parti utilizzati internamente, che alla fine hanno portato all'esecuzione di malware sui computer dei clienti", spiega Facundo Muñoz, ricercatore ESET, che ha scoperto l'ultima operazione di Tick. "Durante l'intrusione, gli aggressori hanno distribuito un downloader precedentemente non documentato, che abbiamo chiamato ShadowPy, e hanno anche distribuito la backdoor Netboy (alias Invader) e il downloader Ghostdown", aggiunge Muñoz.
L'attacco iniziale risale a marzo 2021 ed è stato subito notificato all’azienda da ESET. Nel 2022, la telemetria del vendor ha registrato l'esecuzione di codice dannoso nelle reti di due clienti dell'azienda compromessa. Poiché gli installer affetti da trojan sono stati trasferiti tramite un software di assistenza remota, ESET ipotizza che la trasmissione sia avvenuta mentre l'azienda di DLP forniva assistenza tecnica. Gli aggressori hanno anche violato due server di aggiornamento interni, che hanno fornito ai sistemi presenti all’interno della rete aziendale degli aggiornamenti dannosi per il software sviluppato dall’azienda in due occasioni.
Il downloader ShadowPy, precedentemente non documentato, è stato sviluppato in Python e viene caricato attraverso una versione personalizzata del progetto open source py2exe. ShadowPy contatta un server remoto da cui riceve nuovi script Python che vengono decifrati ed eseguiti. La versione precedente della backdoor Netboy supporta 34 comandi, tra cui la raccolta di informazioni sul sistema, l'eliminazione di file, il download e l'esecuzione di programmi, l'acquisizione di schermate comandi del mouse e della tastiera.
Tick (noto anche come BRONZE BUTLER o REDBALDKNIGHT) è un gruppo APT che si ritiene sia attivo almeno dal 2006 e che prende di mira principalmente i Paesi della regione APAC. Questo gruppo è noto per le sue operazioni di cyber-spionaggio, che si concentrano sul furto di informazioni riservate e proprietà intellettuale. Tick impiega un esclusivo toolset malware progettato per l'accesso persistente alle apparecchiature compromesse, la ricognizione, l'esfiltrazione dei dati e il download di strumenti.
Ulteriori informazioni in merito alle tecniche utilizzate nell'ultima campagna di Tick, sono disponibili in questo articolo "The slow Tick-ing time bomb: Tick APT group compromise of a DLP software developer in East Asia" su WeLiveSecurity.
Tutti i marchi citati sono marchi commerciali o marchi registrati di proprietà delle rispettive aziende
Informazioni su ESET
Da oltre 30 anni, ESET® sviluppa software e servizi di sicurezza informatica leader del settore per proteggere le aziende, le infrastrutture critiche e i consumatori di tutto il mondo da minacce digitali sempre più sofisticate. Dalla sicurezza degli endpoint e dei dispositivi mobili al rilevamento e alla risposta degli endpoint, passando per la crittografia e l'autenticazione multifattoriale, le soluzioni ESET ad alte prestazioni e di facile utilizzo proteggono e monitorano in modo discreto 24 ore su 24, 7 giorni su 7, aggiornando le difese in tempo reale per mantenere gli utenti al sicuro e le aziende funzionanti senza interruzioni. L'evoluzione delle minacce richiede un'azienda di sicurezza informatica in continua evoluzione che consenta un uso sicuro della tecnologia. Questo è supportato dai centri di ricerca e sviluppo di ESET in tutto il mondo, che lavorano a sostegno del nostro futuro comune. Per ulteriori informazioni, visitate il sito www.eset.com o seguiteci su LinkedIn, Facebook e Twitter.