Os pesquisadores da ESET descobriram um comprometimento de uma empresa de prevenção de perda de dados (DLP) do Leste Asiático. Os invasores utilizaram pelo menos três famílias de malware durante a invasão, comprometendo os servidores internos de atualização e as ferramentas de terceiros utilizadas pela empresa. Isso resultou no comprometimento de dois clientes da empresa.
Ilustração da cadeia de compromisso
A ESET atribui a campanha com alta confiança ao grupo Tick APT. Com base no perfil de Tick, o objetivo do ataque era provavelmente espionagem cibernética. A carteira de clientes da empresa DLP inclui entidades governamentais e militares, tornando a empresa comprometida um alvo especialmente atraente para um grupo APT como o Tick.
“Os invasores comprometeram os servidores internos de atualização da empresa DLP para entregar malware dentro da rede do desenvolvedor de software e instaladores trojanizados de ferramentas legítimas de terceiros usadas pela empresa, o que acabou resultando na execução de malware nos computadores de seus clientes”, diz O pesquisador da ESET Facundo Muñoz , que descobriu a última operação de Tick. “Durante a invasão, os invasores implantaram um downloader não documentado anteriormente, que chamamos de ShadowPy, e também implantaram o backdoor Netboy (também conhecido como Invader), bem como o downloader Ghostdown”, acrescenta Muñoz.
O ataque inicial aconteceu em março de 2021 e a ESET notificou a empresa sobre o comprometimento. Em 2022, a telemetria da ESET registrou a execução de código malicioso nas redes de dois dos clientes da empresa comprometida. Como os instaladores trojanizados foram transferidos por meio de software de suporte remoto, a ESET Research levanta a hipótese de que isso ocorreu enquanto a empresa DLP estava fornecendo suporte técnico.
Os invasores também comprometeram dois servidores de atualização internos, que entregaram atualizações maliciosas para o software desenvolvido por esta empresa DLP em duas ocasiões para máquinas dentro da rede da empresa DLP.
O downloader não documentado anteriormente ShadowPy foi desenvolvido em Python e é carregado por meio de uma versão personalizada do projeto de código aberto py2exe. O ShadowPy entra em contato com um servidor remoto de onde recebe novos scripts Python que são descriptografados e executados. O antigo backdoor do Netboy suporta 34 comandos, incluindo coleta de informações do sistema, exclusão de um download de arquivo e execução de programas, execução de captura de tela e execução de eventos de mouse e teclado solicitados por seu controlador.
Tick (também conhecido como BRONZE BUTLER ou REDBALDKNIGHT) é um grupo APT que se acredita estar ativo desde pelo menos 2006 e que visa principalmente os países da região APAC. Esse grupo é de interesse por suas operações de ciberespionagem, que se concentram no roubo de informações sigilosas e propriedade intelectual. Tick emprega um conjunto de ferramentas de malware personalizado exclusivo projetado para acesso persistente a máquinas comprometidas, reconhecimento, exfiltração de dados e download de ferramentas.
FONTE: HELPNET SECURITY