Un actor de ciberespionaje conocido como Tick ha sido atribuido con gran confianza a un compromiso de una empresa de prevención de pérdida de datos (DLP) de Asia oriental que atiende a entidades gubernamentales y militares.
“Los atacantes comprometieron los servidores de actualización internos de la empresa DLP para entregar malware dentro de la red del desarrollador de software y troyanizaron a los instaladores de herramientas legítimas utilizadas por la empresa, lo que eventualmente resultó en la ejecución de malware en las computadoras de los clientes de la empresa”, dijo Facundo, investigador de ESET. Muñoz dicho.
Garrapatatambién conocido como mayordomo de bronce, CABALLERO ROJO, Stalker Panda y Stalker Taurus, es un presunto colectivo alineado con China que ha perseguido principalmente empresas gubernamentales, manufactureras y biotecnológicas en Japón. Se dice que está activo. desde al menos 2006.
Otros objetivos menos conocidos incluyen empresas rusas, singapurenses y chinas. Las cadenas de ataque orquestadas por el grupo generalmente han aprovechado los correos electrónicos de phishing y compromisos web estratégicos como punto de entrada.
A fines de febrero de 2021, Tick surgió como uno de los actores de amenazas para capitalizar las fallas de ProxyLogon en Microsoft Exchange Server como un día cero para lanzar un puerta trasera basada en Delphi en un servidor web perteneciente a una empresa de TI de Corea del Sur.
Casi al mismo tiempo, se cree que el colectivo adversario obtuvo acceso a la red de una empresa desarrolladora de software de Asia oriental a través de medios desconocidos. El nombre de la empresa no fue revelado.
A esto le siguió la implementación de una versión manipulada de una aplicación legítima llamada Q-Dir para eliminar una puerta trasera de VBScript de código abierto llamada ReVBShellademás de un descargador previamente no documentado llamado ShadowPy.
ShadowPy, como su nombre lo indica, es un descargador de Python que se encarga de ejecutar un script de Python recuperado de un servidor remoto.
También se entregaron durante la intrusión variantes de una puerta trasera de Delphi llamada Netboy (también conocido como Invader o Kickesgo) que viene con capacidades de recopilación de información y shell inversa, así como otro descargador con nombre en código Ghostdown.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
«Para mantener el acceso persistente, los atacantes implementaron DLL de carga maliciosa junto con aplicaciones firmadas legítimas vulnerables al secuestro de orden de búsqueda de DLL», dijo Muñoz. «El propósito de estas DLL es decodificar e inyectar una carga útil en un proceso designado».
Posteriormente, en febrero y junio de 2022, los instaladores Q-Dir troyanizados se transfirieron a través de herramientas de soporte remoto como helpU y ANYSUPPORT a dos de los clientes de la empresa, una empresa de ingeniería y fabricación ubicada en el este de Asia.
La compañía de ciberseguridad eslovaca dijo que el objetivo aquí no era realizar un ataque a la cadena de suministro contra sus clientes intermedios, sino que el instalador deshonesto se usó «sin saberlo» como parte de las actividades de soporte técnico.
Es probable que el incidente también esté relacionado con otro grupo no atribuido. detallado por AhnLab en mayo de 2022 que involucró el uso de archivos de ayuda HTML compilada (.CHM) de Microsoft para colocar el implante ReVBShell.