Com as soluções de prevenção contra perda de dados (DLP), as empresas desejam impedir que os dados internos saiam de sua própria rede involuntariamente. Mas se o próprio provedor de software for hackeado, seus clientes também estarão em risco. Foi o que aconteceu com o provedor que também tem clientes de instituições governamentais e militares.
Os ataques à cadeia de suprimentos estão entre os perigos frequentemente subestimados, dizem os especialistas da ESET, fabricante de segurança de TI. Recentemente, eles descobriram um ataque à rede de uma empresa de prevenção contra perda de dados do Leste Asiático cujo portfólio de clientes inclui instituições governamentais e militares. Os pesquisadores da ESET rastreiam esse ataque até o grupo APT "Tick" com um alto grau de probabilidade. Com base em seu perfil, o alvo do ataque era espionagem cibernética.
Espionagem cibernética pelo grupo APT Tick
“Durante a infiltração do fornecedor, os invasores empregaram pelo menos três famílias de malware. No processo, eles também comprometeram servidores de atualização internos e instalaram trojans de ferramentas legítimas de terceiros. Isso acabou levando à execução de malware nos computadores de pelo menos dois clientes”, explica o pesquisador da ESET Facundo Muñoz, que descobriu a recente operação de Tick. “Os hackers usaram o downloader anteriormente não documentado “ShadowPy”, bem como o backdoor Netboy (também conhecido como Invader) e o downloader Ghostdown”, continua Muñoz.
Primeiro ataque há dois anos
A ESET descobriu um primeiro ataque já em 2021 e informou imediatamente a empresa DLP. Em 2022, a telemetria da ESET registrou execução de código malicioso nas redes de dois clientes do provedor comprometido. Como os instaladores trojanizados foram entregues por meio de software de manutenção remota, a ESET Research suspeita que as máquinas foram infectadas enquanto a empresa DLP fornecia suporte técnico. O próprio fabricante da solução de prevenção contra perda de dados também foi infectado depois que dois servidores internos de atualização distribuíram códigos maliciosos em sua própria rede.
Novo downloader chamado ShadowPy
O downloader não documentado anteriormente ShadowPy foi desenvolvido em Python e é carregado por meio de uma versão personalizada do projeto de código aberto py2exe. O ShadowPy entra em contato com um servidor remoto do qual recebe novos scripts Python que são descriptografados e executados.
O antigo backdoor do Netboy suporta 34 comandos, incluindo coleta de informações do sistema, exclusão de um arquivo, download e execução de programas, captura de conteúdo da tela e execução de eventos de mouse e teclado solicitados por seu controlador.
Sobre o grupo APT Tick
Tick (também conhecido como BRONZE BUTLER ou REDBALDKNIGHT) é um grupo APT que se acredita estar ativo desde pelo menos 2006, visando principalmente países da região APAC. O grupo é conhecido por suas operações de ciberespionagem, que se concentram no roubo de informações sigilosas e propriedade intelectual. Tick usa um conjunto de ferramentas de malware exclusivo e personalizado, projetado para acesso persistente a máquinas comprometidas, reconhecimento, exfiltração de dados e download de ferramentas adicionais.
Mais em ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.