Tick olarak bilinen bir siber casusluk aktörünün, hükümet ve askeri kuruluşlara hizmet veren bir Doğu Asya veri kaybını önleme (DLP) şirketinin uzlaşmasına büyük bir güvenle atfedildi.
ESET araştırmacısı Facundo, “Saldırganlar, yazılım geliştiricinin ağı içinde kötü amaçlı yazılım dağıtmak için DLP şirketinin dahili güncelleme sunucularını ele geçirdi ve şirket tarafından kullanılan yasal araçların yükleyicilerini truva atı haline getirdi, bu da sonunda şirketin müşterilerinin bilgisayarlarında kötü amaçlı yazılımların yürütülmesine neden oldu.” Munoz dedi.
Bronze Butler, Stalker Panda, REDBALKNIGHT ve Stalker Taurus olarak da bilinen Tick, öncelikle Japonya’daki hükümet, üretim ve biyoteknoloji firmalarının peşine düşen, Çin bağlantılı olduğundan şüphelenilen bir topluluktur. En az 2006’dan beri aktif olduğu söyleniyor.
Daha az bilinen diğer hedefler arasında Rus, Singapurlu ve Çinli şirketler yer alıyor. Grup tarafından yönetilen saldırı zincirleri, tipik olarak hedef odaklı kimlik avı e-postalarından ve stratejik web uzlaşmalarından bir giriş noktası olarak yararlandı.
Şubat 2021’in sonlarında Tick, Güney Koreli bir BT şirketine ait bir web sunucusuna Delphi tabanlı bir arka kapı açmak için sıfır gün olarak Microsoft Exchange Server’daki ProxyLogon açıklarından yararlanan tehdit aktörlerinden biri olarak ortaya çıktı.
Aynı sıralarda, hasım kolektifin bilinmeyen yollarla bir Doğu Asyalı yazılım geliştirici şirketinin ağına erişim sağladığına inanılıyor. Şirketin adı açıklanmadı.
Bunu, ShadowPy adlı daha önce belgelenmemiş bir indiriciye ek olarak ReVBShell adlı açık kaynaklı bir VBScript arka kapısını bırakmak için Q-Dir adlı meşru bir uygulamanın kurcalanmış bir sürümünün konuşlandırılması izledi.
ShadowPy, adından da anlaşılacağı gibi, uzak bir sunucudan alınan bir Python betiğini yürütmekten sorumlu bir Python indiricisidir.
İzinsiz giriş sırasında ayrıca, bilgi toplama ve ters kabuk yetenekleriyle birlikte gelen Netboy (namı diğer Invader veya Kickesgo) adlı bir Delphi arka kapısının varyantları ve Ghostdown kod adlı başka bir indirici teslim edildi.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Muñoz, “Saldırganlar, kalıcı erişimi sürdürmek için, kötü amaçlı yükleyici DLL’lerinin yanı sıra DLL arama sırası kaçırmaya karşı savunmasız olan meşru imzalı uygulamaları dağıttı” dedi. “Bu DLL’lerin amacı, bir yükün kodunu çözmek ve belirlenmiş bir sürece enjekte etmektir.”
Ardından, Şubat ve Haziran 2022’de, trojanlaştırılmış Q-Dir yükleyicileri, helpU ve ANYSUPPORT gibi uzaktan destek araçları aracılığıyla, Doğu Asya’da yerleşik bir mühendislik ve üretim firması olan şirketin iki müşterisine aktarıldı.
Slovak siber güvenlik şirketi, buradaki amacın alt müşterilere karşı bir tedarik zinciri saldırısı gerçekleştirmek olmadığını, bunun yerine hileli yükleyicinin teknik destek faaliyetlerinin bir parçası olarak “bilmeden” kullanıldığını söyledi.
Olayın, Mayıs 2022’de AhnLab tarafından ayrıntılandırılan ve ReVBShell implantını bırakmak için Microsoft Derlenmiş HTML Yardımı (.CHM) dosyalarının kullanımını içeren başka bir ilişkilendirilmemiş kümeyle de ilgili olması muhtemeldir.