Компания ESET ― лидер в области информационной безопасности ― сообщает об обнаружении компрометации азиатского разработчика решений для предотвращения потери данных (DLP). В частности, злоумышленники развернули минимум три семейства вредоносных программ и скомпрометировали внутренние серверы обновлений и сторонние инструменты, которые использует компания. В результате киберпреступники также заразили двух клиентов этой компании.
Специалисты ESET связывают атаку с APT-группой Tick, целью которой, вероятнее всего, был кибершпионаж. К клиентам этой DLP-компании принадлежат государственные и военные организации, что делает ее особенно привлекательной для APT-группы Tick.
«Злоумышленники скомпрометировали внутренние серверы обновлений DLP-компании, чтобы загрузить вредоносное программное обеспечение в сеть разработчика и заразили установщики легитимных инструментов, которые использует компания. Это, в конечном счете, привело к запуску вредоносного программного обеспечения на компьютерах ее клиентов, — комментирует Факундо Муньос, исследователь компании ESET. — Во время атаки злоумышленники развернули загрузчик ShadowPy, а также бэкдор Netboy (известный также как Invader) и загрузчик Ghostdown».
Первая атака произошла в марте 2021 года и специалисты ESET сообщили компанию о компрометации. В 2022 году телеметрия ESET зафиксировала исполнение вредоносного кода в сетях двух скомпрометированных клиентов этой DLP-компании. Поскольку вредоносные инсталляторы были переданы через программу удаленной поддержки, исследователи ESET считают, что это произошло при оказании технической поддержки DLP-компанией.
Злоумышленники также сломали два внутренних сервера обновления, которые дважды загружали вредоносные обновления для программного обеспечения этой компании, на устройства в корпоративной сети. Ранее незафиксированный загрузчик ShadowPy, разработанный на Python, загружается через настроенную версию проекта с открытым кодом py2exe. ShadowPy связывается с удаленным сервером, откуда получает новые сценарии Python, которые расшифровываются и выполняются на конечных точках.
Другой бэкдор Netboy поддерживает 34 команды, в частности сбор системной информации, удаление файла, загрузку и исполнение программ, захват экрана, управление мышью и клавиатурой по запросу злоумышленника.
APT-группа Tick, известная также как BRONZE BUTLER или REDBALDKNIGHT, работает по крайней мере с 2006 года и нацелена преимущественно на страны Азиатско-Тихоокеанского региона. Эта группа хакеров вызывает интерес из-за своей кибершпионской деятельности, в частности кражи секретной информации и интеллектуальной собственности. Киберпреступники используют специальный набор вредоносных программ, разработанный для постоянного доступа к скомпрометированным устройствам, разведки, перехвата данных и загрузки инструментов.
Чтобы уменьшить потенциальные риски атак, следует создать многоуровневую систему киберзащиты и позаботиться о безопасности данных. В частности, организациям уже сейчас следует обеспечить всестороннюю защиту рабочих станций, расширенный анализ в облаке, выявление и реагирование на инциденты безопасности, а также улучшить кибербезопасность с помощью дополнительных инструментов.
В случае обнаружения вредоносной деятельности в собственных ИT-системах украинские пользователи продуктов ESET могут обратиться за помощью в круглосуточную службу технической поддержки по телефону +380 44 545 77 26 или по электронному адресу support@eset.ua.