企業は、データ損失防止 (DLP) ソリューションを使用して、内部データが意図せずに自社のネットワークから流出するのを防ぎたいと考えています。 しかし、ソフトウェア プロバイダー自体がハッキングされた場合、その顧客も危険にさらされます。 これは、政府機関や軍事機関からの顧客も抱えているプロバイダーに起こったことです.
IT セキュリティ メーカー ESET の専門家によると、サプライ チェーンへの攻撃は過小評価されがちな危険の XNUMX つです。 彼らは最近、顧客ポートフォリオに政府機関や軍事機関が含まれる東アジアのデータ損失防止会社のネットワークに対する攻撃を発見しました。 ESET の研究者は、この攻撃を高確率で APT グループ「Tick」にまでさかのぼります。 彼らのプロフィールに基づくと、攻撃の標的はサイバースパイ活動でした。
標的型攻撃グループ Tick によるサイバースパイ活動
「ベンダーへの侵入中に、攻撃者は少なくとも XNUMX つのマルウェア ファミリを使用しました。 その過程で、彼らは内部の更新サーバーも侵害し、正規のサードパーティ ツールのインストーラーをトロイの木馬化しました。 これにより、最終的に少なくとも XNUMX 人の顧客のコンピューターでマルウェアが実行されました」と、Tick の最近の操作を発見した ESET の研究者であるファクンド ムニョスは説明します。 「ハッカーは、これまで文書化されていなかったダウンローダー「ShadowPy」、Netboy バックドア (別名 Invader)、Ghostdown ダウンローダーを使用していました」と Muñoz 氏は続けます。
XNUMX年前の最初の攻撃
ESET は 2021 年に最初の攻撃を発見し、すぐに DLP 会社に通知しました。 2022 年、ESET テレメトリは、侵害されたプロバイダーの XNUMX 人の顧客のネットワークで悪意のあるコードの実行を記録しました。 トロイの木馬化されたインストーラーはリモート メンテナンス ソフトウェアを介して配信されたため、ESET Research は、DLP 会社がテクニカル サポートを提供している間にマシンが感染したのではないかと疑っています。 XNUMX つの内部更新サーバーが悪意のあるコードを自社のネットワークに配布した後、データ損失防止ソリューションの製造元自体も感染しました。
ShadowPy と呼ばれる新しいダウンローダー
これまで文書化されていなかったダウンローダ ShadowPy は Python で開発され、オープン ソース プロジェクト py2exe のカスタマイズされたバージョンを介してロードされます。 ShadowPy は、復号化されて実行される新しい Python スクリプトを受信するリモート サーバーに接続します。
古い Netboy バックドアは、システム情報の収集、ファイルの削除、プログラムのダウンロードと実行、画面の内容のキャプチャ、コントローラーから要求されたマウスとキーボードのイベントの実行など、34 のコマンドをサポートしています。
標的型攻撃グループ Tick について
Tick (別名 BRONZE BUTLER または REDBALDKNIGHT) は、少なくとも 2006 年から活動していたと考えられる APT グループで、主に APAC 地域の国を標的にしています。 このグループは、機密情報と知的財産の窃盗に焦点を当てたサイバースパイ活動で知られています。 Tick は、侵害されたマシンへの永続的なアクセス、偵察、データの引き出し、および追加ツールのダウンロードのために設計された専用のカスタムメイドのマルウェア ツールセットを使用します。
詳細はESET.comで
ESETについて ESET は、ブラチスラバ (スロバキア) に本社を置くヨーロッパの会社です。 1987 年以来、ESET は受賞歴のあるセキュリティ ソフトウェアを開発しており、すでに 100 億人を超えるユーザーが安全なテクノロジを利用できるように支援しています。 セキュリティ製品の幅広いポートフォリオは、すべての主要なプラットフォームをカバーし、世界中の企業と消費者にパフォーマンスとプロアクティブな保護の完璧なバランスを提供します。 同社は 180 を超える国にグローバルな販売ネットワークを持ち、イエナ、サンディエゴ、シンガポール、ブエノスアイレスにオフィスを構えています。 詳細については、www.eset.de にアクセスするか、LinkedIn、Facebook、Twitter でフォローしてください。