ESET-Forscher haben einen erfolgreichen Angriff aufgedeckt, der das Netzwerk eines ostasiatischen Unternehmens kompromittiert hat, das sich auf die Verhinderung von Datenlecks spezialisiert hat.
Das Kundenportfolio dieses Herausgebers umfasst staatliche und militärische Einrichtungen.
ESET-Forscher schrieben diesen Angriff mit ziemlicher Sicherheit der Tick-Hackergruppe zu.
Ziel des Angriffs war höchstwahrscheinlich Cyberspionage.
Die Angreifer setzten mindestens drei Malware-Familien ein und kompromittierten interne Update-Server sowie vom Unternehmen verwendete Tools von Drittanbietern.
Infolgedessen wurden zwei ihrer Kunden kompromittiert.
Die Untersuchung ergab die Existenz eines zuvor undokumentierten Downloaders namens ShadowPy von ESET.
Forscher von ESET, einem europäischen Herausgeber von Sicherheitslösungen, haben herausgefunden, dass ein auf Data Leak Protection (DLP) spezialisiertes Unternehmen in Ostasien Opfer eines Computereinbruchs geworden ist. Während des Eindringens setzten die Angreifer mindestens drei Malware-Familien ein und kompromittierten interne Update-Server sowie vom Unternehmen verwendete Tools von Drittanbietern. Dabei wurden zwei Kunden des Unternehmens kompromittiert. ESET hat diese Kampagne mit ziemlicher Sicherheit der Hackergruppe Tick zugeschrieben. Laut Ticks Profil ist das Ziel des Angriffs höchstwahrscheinlich Cyberspionage. Das Firmenkundenportfolio von DLP umfasst staatliche und militärische Einrichtungen, was es zu einem besonders attraktiven Ziel für eine Hackergruppe wie Tick macht.
„Angreifer kompromittiert die internen Update-Server des Unternehmens und eingebettete Trojaner in den Installationsprogrammen der vom Unternehmen verwendeten Tools, was letztendlich dazu führte, dass Malware auf den Computern der Kunden ausgeführt wird“, sagt Facundo Muñoz, der ESET-Forscher, der die neueste Kampagne von Tick entdeckt hat. „Während des Eindringens setzten die Angreifer einen damals unbekannten und undokumentierten Downloader ein, den wir ShadowPy nannten, sowie die Backdoor von Netboy (alias Invader) und den Downloader von Ghostdown“, fügt Muñoz hinzu.
Der erste Angriff fand im März 2021 statt, teilte ESET dem Unternehmen mit. Im Jahr 2022 stellte die ESET-Telemetrie die Ausführung von Malware in den Netzwerken von zwei Kunden des kompromittierten Unternehmens fest. Da die Trojaner-Installationsprogramme über Remote-Support-Software übertragen wurden, geht ESET Research davon aus, dass dies geschah, als das DLP-Unternehmen technischen Support leistete. Die Angreifer brachen auch in zwei interne Update-Server ein, die zweimal bösartige Updates in ihr Netzwerk schoben.
Der undokumentierte ShadowPy-Downloader wurde in Python entwickelt und wird mit einer benutzerdefinierten Version des Open-Source-Projekts py2exe geladen. ShadowPy kontaktiert einen Remote-Server, von dem es neue Python-Skripte erhält, die dann entschlüsselt und ausgeführt werden. Die alte Netboy-Hintertür unterstützt 34 Befehle, darunter das Sammeln von Systeminformationen, das Löschen einer Datei, das Herunterladen und Ausführen von Programmen, das Aufnehmen von Screenshots und das Ausführen von Apps sowie Maus- und Tastaturereignisse, die von ihrem Controller angefordert werden.
Tick ​​​​(auch bekannt als BRONZE BUTLER oder REDBALDKNIGHT) ist eine Hackergruppe, von der angenommen wird, dass sie seit mindestens 2006 aktiv ist und hauptsächlich Länder in der APAC-Region ins Visier nimmt. Die Cyber-Spionage-Aktivitäten der Gruppe betreffen hauptsächlich den Diebstahl von geheimen Informationen und geistigem Eigentum. Tick ​​​​verwendet eine Reihe von proprietären, maßgeschneiderten bösartigen Tools, die für den dauerhaften Zugriff auf kompromittierte Computer zur Aufklärung, Datenexfiltration und zum Herunterladen von Tools entwickelt wurden.
Weitere technische Informationen zur neuesten Kampagne von Tick finden Sie im Artikel „The slow Ticking time bomb: Tick APT group compromised of a DLP software developer in East Asia“ auf WeLiveSecurity. Folgen Sie ESET Research auf Twitter.
