Компанія ESET ― лідер у галузі інформаційної безпеки ― повідомляє про виявлення компрометації азійського розробника рішень для запобігання втраті даних (DLP). Зокрема зловмисники розгорнули щонайменше три сімейства шкідливих програм та скомпрометували внутрішні сервери оновлень і сторонні інструменти, які використовує компанія. У результаті кіберзлочинці також інфікували двох клієнтів цієї компанії.
Спеціалісти ESET пов’язують атаку з APT-групою Tick, метою яких, ймовірніше, було кібершпигунство. До клієнтів цієї DLP-компанії належать державні та військові організації, що робить її особливо привабливою ціллю для APT-групи Tick.
«Зловмисники скомпрометували внутрішні сервери оновлень DLP-компанії, щоб завантажити шкідливе програмне забезпечення в мережу розробника та інфікували інсталятори легітимних інструментів, які використовує компанія. Це зрештою призвело до запуску шкідливого програмного забезпечення на комп’ютерах її клієнтів, — коментує Факундо Муньос, дослідник компанії ESET. — Під час атаки зловмисники розгорнули завантажувач ShadowPy, а також бекдор Netboy (відомий також як Invader) та завантажувач Ghostdown».
Перша атака сталася в березні 2021 року, і спеціалісти ESET повідомили компанію про компрометацію. У 2022 році телеметрія ESET зафіксувала виконання шкідливого коду в мережах двох скомпрометованих клієнтів цієї DLP-компанії. Оскільки шкідливі інсталятори були передані через програму віддаленої підтримки, дослідники ESET вважають, що це відбулося під час надання технічної підтримки DLP-компанією.
Зловмисники також зламали два внутрішні сервери оновлення, які двічі завантажували шкідливі оновлення для програмного забезпечення цієї компанії, на пристрої в її корпоративній мережі. Раніше незафіксований завантажувач ShadowPy, розроблений на Python, завантажується через налаштовану версію проекту з відкритим кодом py2exe. ShadowPy зв’язується з віддаленим сервером, звідки отримує нові сценарії Python, які розшифровуються та виконуються на кінцевих точках.
Інший бекдор Netboy підтримує 34 команди, зокрема збір системної інформації, видалення файлу, завантаження та виконання програм, захоплення екрана, управління мишею та клавіатурою за запитом зловмисника.
APT-група Tick, відома також як BRONZE BUTLER або REDBALDKNIGHT, працює принаймні з 2006 року та націлена переважно на країни Азіатсько-Тихоокеанського регіону. Ця група хакерів викликає інтерес через свою кібершпигунську діяльність, зокрема викрадення секретної інформації та інтелектуальної власності. КІберзлочинці використовують спеціальний набір шкідливих програм, розроблений для постійного доступу до скомпрометованих пристроїв, розвідки, перехоплення даних та завантаження інструментів.
Щоб зменшити потенційні ризики атак, варто створити багаторівневу систему кіберзахисту та подбати про безпеку даних. Зокрема організаціям вже зараз слід забезпечити всебічний захист робочих станцій, розширений аналіз у хмарі, виявлення та реагування на інциденти з безпеки, а також покращити кібербезпеку за допомогою додаткових інструментів.
У разі виявлення шкідливої діяльності у власних IT-системах українські користувачі продуктів ESET можуть звернутися за допомогою до цілодобової служби технічної підтримки за телефоном +380 44 545 77 26 або електронною адресою support@eset.ua.