Исследователи ESET обнаружили кампанию, которую мы с высокой долей уверенности приписываем APT-группе Tick. Инцидент произошел в сети восточноазиатской компании, разрабатывающей программное обеспечение для предотвращения потери данных (DLP).
Злоумышленники взломали внутренние серверы обновлений DLP-компании для доставки вредоносного ПО в сеть разработчика ПО, а также троянизировали инсталляторы легитимных инструментов, используемых компанией, что в итоге привело к запуску вредоносного ПО на компьютерах клиентов компании.
В этом блоге мы приводим технические подробности о вредоносном ПО, обнаруженном в сетях взломанной компании и ее клиентов. Во время вторжения злоумышленники развернули ранее недокументированный загрузчик под названием ShadowPy, а также бэкдор Netboy (он же Invader) и загрузчик Ghostdown.
Судя по профилю Tick и портфелю ценных клиентов взломанной компании, целью атаки, скорее всего, был кибершпионаж. Каким образом компания по предотвращению потери данных была изначально скомпрометирована, неизвестно.
- Исследователи ESET обнаружили атаку в сети восточноазиатской компании по предотвращению потери данных, в портфель клиентов которой входят правительственные и военные организации.
- Исследователи ESET с высокой степенью уверенности приписывают эту атаку APT-группе Tick.
- Злоумышленники развернули как минимум три семейства вредоносных программ и скомпрометировали серверы обновлений и инструменты, используемые компанией. В результате были скомпрометированы два их клиента.
- В ходе расследования был обнаружен ранее недокументированный загрузчик под названием ShadowPy.
Indicators of Compromise
IPv4
- 103.127.124.117
- 103.127.124.119
- 103.127.124.76
- 110.10.16.56
- 115.144.69.108
- 192.185.89.178
- 58.230.118.78
Domains
- moack.co.ltd
- mssql.waterglue.org
- oracle.eneygylakes.com
- slientship.com
- travelasist.com
SHA1
- 02937e4a804f2944b065b843a31390ff958e2415
- 4300938a4fd4190a47edd0d333e26c8fe2c7451e
- 72bddead9b508597b75c1ee8be970a7ca8eb85dc
- 8bc1f41a4ddf5cff599570ed6645b706881beeed
- b9675d0efbc4ae92e02b3bfc8ca04b01f8877db6
- f54f91d143399b3c9e9f7abf0c90d60b42bf25c9
- fe011d3bdf085b23e6723e8f84dd46ba63b2c700