ESET araştırmacıları, bir Doğu Asya veri kaybını önleme (DLP) şirketinin gizliliğini ortaya çıkardı. Saldırganlar izinsiz giriş sırasında en az üç kötü amaçlı yazılım ailesi kullandı ve hem dahili güncelleme sunucularını hem de şirket tarafından kullanılan üçüncü taraf araçlarını tehlikeye attı. Bu, şirketin iki müşterisinin daha sonra tehlikeye girmesine neden oldu.
Uzlaşma zincirinin çizimi
ESET, kampanyayı yüksek güvenle Tick APT grubuna bağlar. Tick’in profiline göre, saldırının amacı büyük olasılıkla siber casusluktu. DLP şirketinin müşteri portföyünün devlet ve askeri kuruluşları içermesi, güvenliği ihlal edilmiş şirketi Tick gibi bir APT grubu için özellikle çekici bir hedef haline getiriyor.
“Saldırganlar, DLP şirketinin dahili güncelleme sunucularını yazılım geliştiricinin ağına kötü amaçlı yazılım dağıtmak için tehlikeye attılar ve şirket tarafından kullanılan yasal üçüncü taraf araçları yükleyicileri truva atı haline getirdiler, bu da sonunda müşterilerinin bilgisayarlarında kötü amaçlı yazılımların yürütülmesine neden oldu” diyor. Tick’in son operasyonunu keşfeden ESET araştırmacısı Facundo Muñoz. Muñoz, “İhlal sırasında, saldırganlar ShadowPy adını verdiğimiz önceden belgelenmemiş bir indiriciyi konuşlandırdılar ve ayrıca Netboy arka kapısını (Invader olarak da bilinir) ve Ghostdown indiricisini konuşlandırdılar” diye ekliyor Muñoz.
İlk saldırı Mart 2021’de gerçekleşti ve ESET şirkete güvenlik açığını bildirdi. 2022’de ESET telemetrisi, güvenliği ihlal edilmiş şirketin iki müşterisinin ağlarında kötü amaçlı kod çalıştırıldığını kaydetti. Truva atına bulaşmış yükleyiciler uzaktan destek yazılımı aracılığıyla aktarıldığı için ESET Araştırması, bunun DLP şirketi teknik destek sağlarken gerçekleştiğini varsayar.
Saldırganlar ayrıca, bu DLP şirketi tarafından geliştirilen yazılım için DLP şirketinin ağındaki makinelere iki kez kötü amaçlı güncellemeler gönderen iki dahili güncelleme sunucusunun güvenliğini de ele geçirdi.
Daha önce belgelenmemiş indirici ShadowPy, Python’da geliştirildi ve açık kaynak projesi py2exe’nin özelleştirilmiş bir sürümü aracılığıyla yüklendi. ShadowPy, şifresi çözülen ve yürütülen yeni Python betiklerini aldığı uzak bir sunucuyla bağlantı kurar. Daha eski Netboy arka kapısı, sistem bilgisi toplama, bir dosyayı silme, programları indirme ve yürütme, ekran yakalama gerçekleştirme ve denetleyicisi tarafından istenen fare ve klavye olaylarını gerçekleştirme dahil olmak üzere 34 komutu destekler.
Tick (BRONZE BUTLER veya REDBALDKNIGHT olarak da bilinir), en az 2006’dan beri aktif olduğu düşünülen ve esas olarak APAC bölgesindeki ülkeleri hedefleyen bir APT grubudur. Bu grup, sınıflandırılmış bilgileri ve fikri mülkiyeti çalmaya odaklanan siber casusluk operasyonlarıyla ilgileniyor. Tick, güvenliği ihlal edilmiş makinelere kalıcı erişim, keşif, veri hırsızlığı ve araçların indirilmesi için tasarlanmış özel bir kötü amaçlı yazılım araç seti kullanır.