Con las soluciones de prevención de pérdida de datos (DLP), las empresas quieren evitar que los datos internos abandonen su propia red sin querer. Pero si el propio proveedor de software es pirateado, sus clientes también corren peligro. Esto es lo que le pasó al proveedor que también tiene clientes de instituciones gubernamentales y militares.
Los ataques a la cadena de suministro se encuentran entre los peligros que a menudo se subestiman, dicen los expertos del fabricante de seguridad de TI ESET. Recientemente descubrieron un ataque a la red de una empresa de prevención de pérdida de datos de Asia oriental cuya cartera de clientes incluye instituciones gubernamentales y militares. Los investigadores de ESET rastrean este ataque hasta el grupo APT "Tick" con un alto grado de probabilidad. Según su perfil, el objetivo del ataque era el ciberespionaje.
Ciberespionaje por parte del grupo APT Tick
“Durante la infiltración de proveedores, los atacantes emplearon al menos tres familias de malware. En el proceso, también comprometieron los servidores de actualización internos y troyanizaron los instaladores de herramientas legítimas de terceros. Esto eventualmente llevó a la ejecución de malware en las computadoras de al menos dos clientes”, explica Facundo Muñoz, investigador de ESET, quien descubrió la operación reciente de Tick. "Los piratas informáticos utilizaron el programa de descarga "ShadowPy", que anteriormente no estaba documentado, así como la puerta trasera Netboy (también conocida como Invader) y el programa de descarga Ghostdown", continúa Muñoz.
Primer ataque hace dos años
ESET descubrió un primer ataque ya en 2021 e inmediatamente informó a la empresa DLP. En 2022, la telemetría de ESET registró la ejecución de código malicioso en las redes de dos clientes del proveedor comprometido. Dado que los instaladores troyanos se entregaron a través de un software de mantenimiento remoto, ESET Research sospecha que las máquinas se infectaron mientras la compañía DLP brindaba soporte técnico. El propio fabricante de la solución de prevención de pérdida de datos también resultó infectado después de que dos servidores de actualización internos distribuyeran código malicioso en su propia red.
Nuevo descargador llamado ShadowPy
El descargador ShadowPy, previamente no documentado, se desarrolló en Python y se carga a través de una versión personalizada del proyecto de código abierto py2exe. ShadowPy contacta con un servidor remoto desde el que recibe nuevos scripts de Python que se descifran y ejecutan.
La puerta trasera de Netboy más antigua admite 34 comandos, incluida la recopilación de información del sistema, la eliminación de un archivo, la descarga y ejecución de programas, la captura de contenido de la pantalla y la ejecución de eventos de mouse y teclado solicitados por su controlador.
Sobre el grupo APT Tick
Tick (también conocido como BRONZE BUTLER o REDBALDKNIGHT) es un grupo APT que se cree que ha estado activo desde al menos 2006, dirigido principalmente a países de la región APAC. El grupo es conocido por sus operaciones de ciberespionaje, que se centran en robar información clasificada y propiedad intelectual. Tick utiliza un conjunto de herramientas de malware exclusivo y personalizado diseñado para el acceso persistente a máquinas comprometidas, reconocimiento, exfiltración de datos y descarga de herramientas adicionales.
Más en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.