Злоумышленники используют легитимные инструменты для автоматического заражения корпоративных сетей.
Кибершпионская APT-группа Tick cкомпрометировала компанию по предотвращению утечек данных (Data Loss Prevention, DLP), которая обслуживает правительственные и военные организации Восточной Азии. Об этом заявили специалисты ESET в своём новом отчёте.
Злоумышленники скомпрометировали внутренние серверы обновлений компании, чтобы доставить вредоносное ПО в сеть разработчика программ, и троянизировали установщики легитимных инструментов, которые использует фирма, что в конечном итоге привело к запуску вредоносного ПО на компьютерах клиентов компании.
Группировка Tick (Bronze Butler, Stalker Panda, REDBALDKNIGHT и Stalker Taurus) предположительно связана с Китаем. Группа в основном атаковала государственные, производственные и биотехнологические фирмы Японии, а также российские, сингапурские и китайские компании. Считается, что Tick активна как минимум с 2006 года.
Цепочки атак, организованные группой, включают фишинговые электронные письма. В конце февраля 2021 года Tick стал одним из злоумышленников, которые использовали уязвимости ProxyLogon в Microsoft Exchange Server для установки бэкдора на веб-сервер, принадлежащий южнокорейской IT-компании.
Примерно в то же время Tick, как полагают, получил доступ к сети восточноазиатской компании-разработчика ПО неизвестным образом. Название компании не разглашается. За этим последовало развертывание поддельной версии легитимного файлового менеджера Q-Dir для доставки бэкдора под названием ReVBShell , а также ранее незадокументированного загрузчика ShadowPy.
https://www.securitylab.ru/upload/me...2seccvnk6r.png
Также во время вторжения были доставлены варианты бэкдора под названием Netboy (он же Invader или Kickesgo), который может собирать информацию из системы и создавать обратную оболочку (reverse shell), а также еще один загрузчик Ghostdown.
Чтобы поддерживать постоянный доступ, хакеры развернули вредоносные DLL-загрузчики вместе с легитимными подписанными приложениями, уязвимыми для перехвата порядка поиска DLL (DLL Hijacking). Целью этих DLL является декодирование и внедрение полезной нагрузки в назначенный процесс.
Впоследствии, в феврале и июне 2022 года, троянизированные установщики Q-Dir были доставлены на целевые устройства через инструменты удаленной поддержки helpU и ANYSUPPORT двум клиентам инженерной и производственной фирмы, расположенной в Восточной Азии.
По словам экспертов ESET, цель кампании заключалась не в том, чтобы скомпрометировать цепочки поставок целевых фирм, а в том, чтобы вредоносный установщик был «неосознанно» использован в рамках деятельности по технической поддержке.