Los investigadores de ESET descubrieron un ataque exitoso que comprometió la red de una empresa de Asia oriental que se especializa en la prevención de fugas de datos.
La cartera de clientes de esta editorial incluye entidades gubernamentales y militares.
Los investigadores de ESET atribuyeron este ataque al grupo de hackers Tick casi con certeza.
El objetivo del ataque probablemente fue el ciberespionaje.
Los atacantes desplegaron al menos tres familias de malware y pusieron en peligro los servidores de actualización internos, así como las herramientas de terceros utilizadas por la empresa.
Como resultado, dos de sus clientes se vieron comprometidos.
La investigación reveló la existencia de un descargador previamente no documentado, llamado ShadowPy por ESET.
Investigadores de ESET, un editor europeo de soluciones de seguridad, han descubierto que una empresa especializada en protección contra fugas de datos (DLP) en el este de Asia es víctima de una intrusión informática. Durante la intrusión, los atacantes desplegaron al menos tres familias de malware y comprometieron los servidores de actualización internos, así como las herramientas de terceros utilizadas por la empresa. Como resultado, dos clientes de la empresa se vieron comprometidos. ESET atribuyó esta campaña al grupo de hackers Tick casi con certeza. Según el perfil de Tick, lo más probable es que el objetivo del ataque sea el ciberespionaje. La cartera de clientes corporativos de DLP incluye entidades gubernamentales y militares, lo que la convierte en un objetivo particularmente atractivo para un grupo de piratas informáticos como Tick.
"Los atacantes comprometieron los servidores de actualización internos de la empresa e incrustaron troyanos en los instaladores de las herramientas utilizadas por la empresa, lo que finalmente resultó en la ejecución de malware en las computadoras de los clientes", dice Facundo Muñoz, el investigador de ESET que descubrió la última campaña de Tick. “Durante la intrusión, los atacantes desplegaron un descargador entonces desconocido e indocumentado, al que llamamos ShadowPy, así como la puerta trasera Netboy (también conocida como Invader) y el descargador Ghostdown”, agrega Muñoz.
El ataque inicial tuvo lugar en marzo de 2021, informó ESET a la empresa. En 2022, la telemetría de ESET detectó la ejecución de malware en las redes de dos clientes de la empresa comprometida. Dado que los instaladores del troyano se transfirieron a través de un software de soporte remoto, ESET Research asume que esto sucedió cuando la empresa DLP brindaba soporte técnico. Los atacantes también irrumpieron en dos servidores de actualización internos, que enviaron dos veces actualizaciones maliciosas dentro de su red.
El descargador de ShadowPy no documentado fue desarrollado en Python y se carga utilizando una versión personalizada del proyecto de código abierto py2exe. ShadowPy se pone en contacto con un servidor remoto desde el que recibe nuevos scripts de Python que luego se descifran y ejecutan. El antiguo backdoor de Netboy admite 34 comandos, incluida la recopilación de información del sistema, la eliminación de un archivo, la descarga y ejecución de programas, la toma de capturas de pantalla y la ejecución de eventos relacionados con el mouse y el teclado solicitados por su controlador.
Tick (también conocido como BRONZE BUTLER o REDBALDKNIGHT) es un grupo de piratas informáticos que se cree que ha estado activo desde al menos 2006, apuntando principalmente a países de la región APAC. Las actividades de ciberespionaje del grupo son principalmente el robo de información clasificada y propiedad intelectual. Tick utiliza un conjunto de herramientas maliciosas patentadas y personalizadas diseñadas para el acceso persistente a máquinas comprometidas para reconocimiento, exfiltración de datos y descarga de herramientas.
Para obtener más información técnica sobre la última campaña de Tick, consulte el artículo "La bomba de relojería lenta de Tick: el grupo Tick APT comprometido de un desarrollador de software DLP en el este de Asia" en WeLiveSecurity. Siga a ESET Research en Twitter.
