Veri kaybı önleme (DLP) çözümleri ile şirketler, dahili verilerin istemeden kendi ağlarından çıkmasını önlemek istiyor. Ancak yazılım sağlayıcının kendisi saldırıya uğrarsa müşterileri de risk altındadır. Devlet ve askeri kurumlardan da müşterileri olan sağlayıcının başına gelen buydu.
BT güvenlik üreticisi ESET'in uzmanları, tedarik zinciri saldırılarının genellikle hafife alınan tehlikeler arasında olduğunu söylüyor. Kısa bir süre önce, müşteri portföyü hükümet ve askeri kurumları içeren bir Doğu Asya veri kaybı önleme şirketinin ağına yönelik bir saldırıyı ortaya çıkardılar. ESET araştırmacıları, bu saldırıyı yüksek bir olasılıkla APT grubu "Tick"e kadar takip ediyor. Profillerine göre saldırının hedefi siber casusluktu.
APT grubu Tick tarafından siber casusluk
"Satıcıya sızma sırasında, saldırganlar en az üç kötü amaçlı yazılım ailesi kullandı. Bu süreçte, dahili güncelleme sunucularını da tehlikeye attılar ve yasal üçüncü taraf araçlarının truva atı yükleyicilerini ele geçirdiler. Tick'in son operasyonunu keşfeden ESET araştırmacısı Facundo Muñoz, "Bu, sonunda en az iki müşterinin bilgisayarlarında kötü amaçlı yazılım yürütülmesine yol açtı" diye açıklıyor. Muñoz, "Bilgisayar korsanları daha önce belgesiz indirici "ShadowPy"nin yanı sıra Netboy arka kapısını (namı diğer Invader) ve Ghostdown indiricisini kullandı," diye devam ediyor Muñoz.
İlk saldırı iki yıl önce
ESET, 2021 gibi erken bir tarihte ilk saldırıyı keşfetti ve hemen DLP şirketine haber verdi. 2022'de ESET telemetri, güvenliği ihlal edilmiş sağlayıcının iki müşterisinin ağlarında kötü amaçlı kod yürütülmesini kaydetti. Truva atı bulaşmış yükleyiciler, uzaktan bakım yazılımı aracılığıyla teslim edildiğinden, ESET Research, DLP şirketi teknik destek sağlarken makinelere virüs bulaştığından şüpheleniyor. Veri kaybını önleme çözümünün üreticisine de, iki dahili güncelleme sunucusunun kendi ağında kötü amaçlı kod dağıtmasının ardından virüs bulaştı.
ShadowPy adlı yeni indirici
Daha önce belgelenmemiş indirici ShadowPy, Python'da geliştirildi ve açık kaynak projesi py2exe'nin özelleştirilmiş bir sürümü aracılığıyla yüklendi. ShadowPy, şifresi çözülen ve yürütülen yeni Python betiklerini aldığı bir uzak sunucuyla bağlantı kurar.
Eski Netboy arka kapısı, sistem bilgilerinin toplanması, bir dosyanın silinmesi, programların indirilmesi ve çalıştırılması, ekran içeriklerinin yakalanması ve denetleyicisi tarafından talep edilen fare ve klavye olaylarının yürütülmesi dahil olmak üzere 34 komutu destekler.
APT grubu hakkında Tik
Tick (namı diğer BRONZE BUTLER veya REDBALKNIGHT), en az 2006'dan beri aktif olduğuna inanılan ve çoğunlukla APAC bölgesindeki ülkeleri hedefleyen bir APT grubudur. Grup, gizli bilgileri ve fikri mülkiyeti çalmaya odaklanan siber casusluk operasyonlarıyla tanınır. Tick, güvenliği ihlal edilmiş makinelere kalıcı erişim, keşif, veri hırsızlığı ve ek araçların indirilmesi için tasarlanmış özel, özel yapım bir kötü amaçlı yazılım araç seti kullanır.
Daha fazlası ESET.com'da
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.