• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Предположительно китайская группа Tick связана с атаками на клиентов азиатских компаний

Пригоршня

Штурман
Журналист
Регистрация
26.10.16
Сообщения
2,238
Онлайн
36д 12ч 12м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Кибершпионская APT-группа Tick cкомпрометировала компанию по предотвращению утечек данных (Data Loss Prevention, DLP), которая обслуживает правительственные и военные организации Восточной Азии. Об этом заявили специалисты ESET в своём новом отчёте.

Злоумышленники скомпрометировали внутренние серверы обновлений компании, чтобы доставить вредоносное ПО в сеть разработчика программ, и троянизировали установщики легитимных инструментов, которые использует фирма, что в конечном итоге привело к запуску вредоносного ПО на компьютерах клиентов компании.

Группировка Tick (Bronze Butler, Stalker Panda, REDBALDKNIGHT и Stalker Taurus) предположительно связана с Китаем. Группа в основном атаковала государственные, производственные и биотехнологические фирмы Японии, а также российские, сингапурские и китайские компании. Считается, что Tick активна как минимум с 2006 года.

Цепочки атак, организованные группой, включают фишинговые электронные письма. В конце февраля 2021 года Tick стал одним из злоумышленников, которые использовали уязвимости ProxyLogon в Microsoft Exchange Server для установки бэкдора на веб-сервер, принадлежащий южнокорейской IT-компании.

Примерно в то же время Tick, как полагают, получил доступ к сети восточноазиатской компании-разработчика ПО неизвестным образом. Название компании не разглашается. За этим последовало развертывание поддельной версии легитимного файлового менеджера Q-Dir для доставки бэкдора под названием ReVBShell, а также ранее незадокументированного загрузчика ShadowPy.

Также во время вторжения были доставлены варианты бэкдора под названием Netboy (он же Invader или Kickesgo), который может собирать информацию из системы и создавать обратную оболочку (reverse shell), а также еще один загрузчик Ghostdown.

Чтобы поддерживать постоянный доступ, хакеры развернули вредоносные DLL-загрузчики вместе с легитимными подписанными приложениями, уязвимыми для перехвата порядка поиска DLL (DLL Hijacking). Целью этих DLL является декодирование и внедрение полезной нагрузки в назначенный процесс.

Впоследствии, в феврале и июне 2022 года, троянизированные установщики Q-Dir были доставлены на целевые устройства через инструменты удаленной поддержки helpU и ANYSUPPORT двум клиентам инженерной и производственной фирмы, расположенной в Восточной Азии.

По словам экспертов ESET, цель кампании заключалась не в том, чтобы скомпрометировать цепочки поставок целевых фирм, а в том, чтобы вредоносный установщик был «неосознанно» использован в рамках деятельности по технической поддержке.
 
Сверху