Tick olarak bilinen bir siber casusluk aktörünün, hükümet ve askeri kuruluşlara hizmet veren bir Doğu Asya veri kaybını önleme (DLP) şirketinin uzlaşmasına büyük bir güvenle atfedildi.
ESET araştırmacısı Facundo, “Saldırganlar, yazılım geliştiricinin ağı içinde kötü amaçlı yazılım dağıtmak için DLP şirketinin dahili güncelleme sunucularını ele geçirdi ve şirket tarafından kullanılan yasal araçların yükleyicilerini truva atı haline getirdi, bu da sonunda şirketin müşterilerinin bilgisayarlarında kötü amaçlı yazılımların yürütülmesine neden oldu.” Munoz söz konusu.
keneBronz Kâhya olarak da bilinir, KIRMIZI ŞÖVALYE, Stalker Panda ve Stalker Taurus, öncelikle Japonya’daki hükümet, üretim ve biyoteknoloji firmalarının peşine düşen, Çin bağlantılı olduğundan şüphelenilen bir topluluktur. Aktif olduğu söyleniyor en az 2006’dan beri.
Daha az bilinen diğer hedefler arasında Rus, Singapurlu ve Çinli şirketler yer alıyor. Grup tarafından yönetilen saldırı zincirleri, genellikle hedef odaklı kimlik avı e-postalarından yararlanır ve stratejik web tavizleri bir giriş noktası olarak.
Şubat 2021’in sonlarında Tick, Microsoft Exchange Server’daki ProxyLogon açıklarından sıfır gün olarak yararlanan tehdit aktörlerinden biri olarak ortaya çıktı. Delphi tabanlı arka kapı Güney Koreli bir BT şirketine ait bir web sunucusunda.
Aynı sıralarda, hasım kolektifin bilinmeyen yollarla bir Doğu Asyalı yazılım geliştirici şirketinin ağına erişim sağladığına inanılıyor. Şirketin adı açıklanmadı.
Bunu, Q-Dir adlı yasal bir uygulamanın kurcalanmış bir sürümünün konuşlandırılması izledi. ReVBShellShadowPy adlı önceden belgelenmemiş bir indiriciye ek olarak.
ShadowPy, adından da anlaşılacağı gibi, uzak bir sunucudan alınan bir Python betiğini yürütmekten sorumlu bir Python indiricisidir.
İzinsiz giriş sırasında ayrıca Delphi arka kapısının varyantları da teslim edildi. net boy (aka Invader veya Kickesgo), bilgi toplama ve ters kabuk yeteneklerinin yanı sıra Ghostdown kod adlı başka bir indirici ile birlikte gelir.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
Muñoz, “Kalıcı erişimi sürdürmek için, saldırganlar kötü amaçlı yükleyici DLL’lerini DLL arama sırası kaçırmaya karşı savunmasız meşru imzalı uygulamalarla birlikte dağıttı” dedi. “Bu DLL’lerin amacı, bir yükün kodunu çözmek ve belirlenmiş bir sürece enjekte etmektir.”
Ardından, Şubat ve Haziran 2022’de trojanlaştırılmış Q-Dir yükleyicileri, helpU ve ANYSUPPORT gibi uzaktan destek araçları aracılığıyla şirketin Doğu Asya’da yerleşik bir mühendislik ve imalat firması olan iki müşterisine aktarıldı.
Slovak siber güvenlik şirketi, buradaki amacın alt müşterilere karşı bir tedarik zinciri saldırısı gerçekleştirmek olmadığını, bunun yerine hileli yükleyicinin teknik destek faaliyetlerinin bir parçası olarak “bilmeden” kullanıldığını söyledi.
Olay ayrıca başka bir ilişkilendirilmemiş kümeyle de ilgili olabilir. detaylı AhnLab tarafından Mayıs 2022’de ReVBShell implantını bırakmak için Microsoft Derlenmiş HTML Yardımı (.CHM) dosyalarının kullanımını içeren.