Завдяки рішенням із запобігання втраті даних (DLP) компанії хочуть запобігти ненавмисному виходу внутрішніх даних із власної мережі. Але якщо зламано самого постачальника програмного забезпечення, його клієнти також піддаються ризику. Так сталося з провайдером, у якого також є клієнти з державних і військових установ.
Атаки на ланцюги поставок належать до небезпек, які часто недооцінюють, кажуть експерти виробника ІТ-безпеки ESET. Нещодавно вони виявили атаку на мережу східноазіатської компанії із запобігання втраті даних, клієнтський портфель якої включає державні та військові установи. Дослідники ESET з високою ймовірністю відстежують цю атаку до групи APT «Tick». Згідно з їхнім профілем, метою атаки було кібершпигунство.
Кібершпигунство групи APT Tick
«Під час проникнення постачальника зловмисники використовували щонайменше три сімейства шкідливих програм. У процесі вони також скомпрометували внутрішні сервери оновлень і троянізували інсталятори законних інструментів сторонніх розробників. Зрештою це призвело до запуску зловмисного програмного забезпечення на комп’ютерах принаймні двох клієнтів», — пояснює дослідник ESET Факундо Муньос, який виявив нещодавню операцію Tick. «Хакери використовували раніше незадокументований завантажувач «ShadowPy», а також бекдор Netboy (він же Invader) і завантажувач Ghostdown», — продовжує Муньос.
Перший напад два роки тому
ESET виявила першу атаку ще у 2021 році та негайно повідомила про це компанію DLP. У 2022 році телеметрія ESET зареєструвала виконання шкідливого коду в мережах двох клієнтів зламаного провайдера. Оскільки троянські інсталятори були доставлені через програмне забезпечення для віддаленого обслуговування, ESET Research підозрює, що машини були заражені, коли компанія DLP надавала технічну підтримку. Сам виробник рішення для запобігання втраті даних також був заражений після того, як два внутрішні сервери оновлень поширили шкідливий код у власній мережі.
Новий завантажувач під назвою ShadowPy
Раніше незадокументований завантажувач ShadowPy був розроблений на Python і завантажується через налаштовану версію проекту з відкритим кодом py2exe. ShadowPy зв’язується з віддаленим сервером, з якого отримує нові сценарії Python, які розшифровуються та виконуються.
Старіший бекдор Netboy підтримує 34 команди, включаючи збір системної інформації, видалення файлу, завантаження та запуск програм, захоплення вмісту екрана та виконання подій миші та клавіатури за запитом контролера.
Про групу APT Тик
Tick (він же BRONZE BUTLER або REDBALDKNIGHT) — це група APT, яка, як вважають, працює принаймні з 2006 року, націлюючись переважно на країни Азіатсько-Тихоокеанського регіону. Група відома своїми операціями кібершпигунства, які зосереджені на крадіжці секретної інформації та інтелектуальної власності. Tick використовує ексклюзивний спеціальний набір інструментів шкідливого програмного забезпечення, призначений для постійного доступу до скомпрометованих машин, розвідки, викрадання даних і завантаження додаткових інструментів.
Більше на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.