Злоумышленники используют легитимные инструменты для автоматического заражения корпоративных сетей.
Кибершпионская APT-группа Tick cкомпрометировала компанию по предотвращению утечек данных (Data Loss Prevention, DLP), которая обслуживает правительственные и военные организации Восточной Азии. Об этом заявили специалисты ESET в Для просмотра ссылки Войди
Злоумышленники скомпрометировали внутренние серверы обновлений компании, чтобы доставить вредоносное ПО в сеть разработчика программ, и троянизировали установщики легитимных инструментов, которые использует фирма, что в конечном итоге привело к запуску вредоносного ПО на компьютерах клиентов компании.
Группировка Tick (Bronze Butler, Stalker Panda, REDBALDKNIGHT и Stalker Taurus) предположительно связана с Китаем. Группа в основном атаковала государственные, производственные и биотехнологические фирмы Японии, а также российские, сингапурские и китайские компании. Считается, что Tick активна как минимум с 2006 года.
Цепочки атак, организованные группой, включают фишинговые электронные письма. В конце февраля 2021 года Tick стал одним из злоумышленников, которые использовали уязвимости Для просмотра ссылки Войди
Примерно в то же время Tick, как полагают, получил доступ к сети восточноазиатской компании-разработчика ПО неизвестным образом. Название компании не разглашается. За этим последовало развертывание поддельной версии легитимного файлового менеджера Q-Dir для доставки бэкдора под названием Для просмотра ссылки Войди
Также во время вторжения были доставлены варианты бэкдора под названием Netboy (он же Invader или Kickesgo), который может собирать информацию из системы и создавать обратную оболочку (reverse shell), а также еще один загрузчик Ghostdown.
Чтобы поддерживать постоянный доступ, хакеры развернули вредоносные DLL-загрузчики вместе с легитимными подписанными приложениями, уязвимыми для перехвата порядка поиска DLL (DLL Hijacking). Целью этих DLL является декодирование и внедрение полезной нагрузки в назначенный процесс.
Впоследствии, в феврале и июне 2022 года, троянизированные установщики Q-Dir были доставлены на целевые устройства через инструменты удаленной поддержки helpU и ANYSUPPORT двум клиентам инженерной и производственной фирмы, расположенной в Восточной Азии.
По словам экспертов ESET, цель кампании заключалась не в том, чтобы скомпрометировать цепочки поставок целевых фирм, а в том, чтобы вредоносный установщик был «неосознанно» использован в рамках деятельности по технической поддержке.
- Источник новости
- www.securitylab.ru