Con le soluzioni di prevenzione della perdita di dati (DLP), le aziende vogliono evitare che i dati interni lascino involontariamente la propria rete. Ma se lo stesso fornitore di software viene violato, anche i suoi clienti sono a rischio. Questo è quello che è successo al fornitore che ha anche clienti di istituzioni governative e militari.
Gli attacchi alla catena di approvvigionamento sono tra i pericoli che vengono spesso sottovalutati, affermano gli esperti del produttore di sicurezza IT ESET. Recentemente hanno scoperto un attacco alla rete di una società di prevenzione della perdita di dati dell'Asia orientale il cui portafoglio clienti include istituzioni governative e militari. I ricercatori ESET fanno risalire questo attacco al gruppo APT "Tick" con un alto grado di probabilità. In base al loro profilo, l'obiettivo dell'attacco era lo spionaggio informatico.
Spionaggio informatico del gruppo APT Tick
“Durante l'infiltrazione del fornitore, gli aggressori hanno utilizzato almeno tre famiglie di malware. Nel processo, hanno anche compromesso i server di aggiornamento interni e installatori trojan di strumenti di terze parti legittimi. Ciò alla fine ha portato all'esecuzione di malware sui computer di almeno due clienti", spiega il ricercatore ESET Facundo Muñoz, che ha scoperto la recente operazione di Tick. "Gli hacker hanno utilizzato il downloader precedentemente non documentato "ShadowPy", nonché la backdoor di Netboy (nota anche come Invader) e il downloader di Ghostdown", continua Muñoz.
Primo attacco due anni fa
ESET ha scoperto un primo attacco già nel 2021 e ha immediatamente informato la società DLP. Nel 2022, la telemetria ESET ha registrato l'esecuzione di codice dannoso sulle reti di due clienti del provider compromesso. Poiché i programmi di installazione trojan sono stati forniti tramite software di manutenzione remota, ESET Research sospetta che le macchine siano state infettate mentre la società DLP forniva supporto tecnico. Anche il produttore della soluzione per la prevenzione della perdita di dati è stato infettato dopo che due server di aggiornamento interni hanno distribuito codice dannoso nella propria rete.
Nuovo downloader chiamato ShadowPy
Il downloader precedentemente non documentato ShadowPy è stato sviluppato in Python e viene caricato tramite una versione personalizzata del progetto open source py2exe. ShadowPy contatta un server remoto dal quale riceve nuovi script Python che vengono decifrati ed eseguiti.
La vecchia backdoor di Netboy supporta 34 comandi, inclusa la raccolta di informazioni di sistema, l'eliminazione di un file, il download e l'esecuzione di programmi, l'acquisizione del contenuto dello schermo e l'esecuzione di eventi del mouse e della tastiera richiesti dal suo controller.
Informazioni sul gruppo APT Tick
Tick (alias BRONZE BUTLER o REDBALDKNIGHT) è un gruppo APT che si ritiene sia attivo almeno dal 2006, prendendo di mira principalmente i paesi della regione APAC. Il gruppo è noto per le sue operazioni di spionaggio informatico, che si concentrano sul furto di informazioni riservate e proprietà intellettuale. Tick utilizza un set di strumenti malware esclusivo e personalizzato progettato per l'accesso persistente a macchine compromesse, ricognizione, esfiltrazione di dati e download di strumenti aggiuntivi.
Altro su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.