Avec les solutions de prévention des pertes de données (DLP), les entreprises souhaitent empêcher que des données internes ne quittent involontairement leur propre réseau. Mais si le fournisseur de logiciels lui-même est piraté, ses clients sont également en danger. C'est ce qui est arrivé au fournisseur qui a également des clients d'institutions gouvernementales et militaires.
Les attaques de la chaîne d'approvisionnement font partie des dangers souvent sous-estimés, affirment les experts du fabricant de sécurité informatique ESET. Ils ont récemment découvert une attaque sur le réseau d'une société de prévention des pertes de données d'Asie de l'Est dont le portefeuille de clients comprend des institutions gouvernementales et militaires. Les chercheurs d'ESET font remonter cette attaque au groupe APT "Tick" avec un degré de probabilité élevé. D'après leur profil, la cible de l'attaque était le cyberespionnage.
Cyberespionnage par le groupe APT Tick
"Lors de l'infiltration du fournisseur, les attaquants ont utilisé au moins trois familles de logiciels malveillants. Dans le processus, ils ont également compromis les serveurs de mise à jour internes et les installateurs trojanisés d'outils tiers légitimes. Cela a finalement conduit à l'exécution de logiciels malveillants sur les ordinateurs d'au moins deux clients », explique Facundo Muñoz, chercheur chez ESET, qui a découvert la récente opération de Tick. "Les pirates ont utilisé le téléchargeur "ShadowPy" jusqu'alors non documenté ainsi que la porte dérobée Netboy (alias Invader) et le téléchargeur Ghostdown", poursuit Muñoz.
Première attaque il y a deux ans
ESET a découvert une première attaque dès 2021 et a immédiatement informé la société DLP. En 2022, la télémétrie ESET a enregistré l'exécution de code malveillant sur les réseaux de deux clients du fournisseur compromis. Étant donné que les programmes d'installation contenant des chevaux de Troie ont été livrés via un logiciel de maintenance à distance, ESET Research soupçonne que les machines ont été infectées alors que la société DLP fournissait une assistance technique. Le fabricant de la solution de prévention des pertes de données lui-même a également été infecté après que deux serveurs de mise à jour internes aient distribué du code malveillant sur son propre réseau.
Nouveau téléchargeur appelé ShadowPy
Le téléchargeur précédemment non documenté ShadowPy a été développé en Python et est chargé via une version personnalisée du projet open source py2exe. ShadowPy contacte un serveur distant à partir duquel il reçoit de nouveaux scripts Python qui sont déchiffrés et exécutés.
L'ancienne porte dérobée Netboy prend en charge 34 commandes, notamment la collecte d'informations système, la suppression d'un fichier, le téléchargement et l'exécution de programmes, la capture du contenu de l'écran et l'exécution d'événements de souris et de clavier demandés par son contrôleur.
À propos du groupe APT Tick
Tick (alias BRONZE BUTLER ou REDBALDKNIGHT) est un groupe APT qui serait actif depuis au moins 2006, ciblant principalement les pays de la région APAC. Le groupe est connu pour ses opérations de cyberespionnage, qui se concentrent sur le vol d'informations classifiées et de propriété intellectuelle. Tick utilise un ensemble d'outils exclusifs et personnalisés de logiciels malveillants conçus pour un accès persistant aux machines compromises, la reconnaissance, l'exfiltration de données et le téléchargement d'outils supplémentaires.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.