Tick APT IOCs

security IOC

Исследователи ESET обнаружили кампанию, которую мы с высокой долей уверенности приписываем APT-группе Tick. Инцидент произошел в сети восточноазиатской компании, разрабатывающей программное обеспечение для предотвращения потери данных (DLP).

Злоумышленники взломали внутренние серверы обновлений DLP-компании для доставки вредоносного ПО в сеть разработчика ПО, а также троянизировали инсталляторы легитимных инструментов, используемых компанией, что в итоге привело к запуску вредоносного ПО на компьютерах клиентов компании.

В этом блоге мы приводим технические подробности о вредоносном ПО, обнаруженном в сетях взломанной компании и ее клиентов. Во время вторжения злоумышленники развернули ранее недокументированный загрузчик под названием ShadowPy, а также бэкдор Netboy (он же Invader) и загрузчик Ghostdown.

Судя по профилю Tick и портфелю ценных клиентов взломанной компании, целью атаки, скорее всего, был кибершпионаж. Каким образом компания по предотвращению потери данных была изначально скомпрометирована, неизвестно.

  • Исследователи ESET обнаружили атаку в сети восточноазиатской компании по предотвращению потери данных, в портфель клиентов которой входят правительственные и военные организации.
  • Исследователи ESET с высокой степенью уверенности приписывают эту атаку APT-группе Tick.
  • Злоумышленники развернули как минимум три семейства вредоносных программ и скомпрометировали серверы обновлений и инструменты, используемые компанией. В результате были скомпрометированы два их клиента.
  • В ходе расследования был обнаружен ранее недокументированный загрузчик под названием ShadowPy.

Indicators of Compromise

IPv4

  • 103.127.124.117
  • 103.127.124.119
  • 103.127.124.76
  • 110.10.16.56
  • 115.144.69.108
  • 192.185.89.178
  • 58.230.118.78

Domains

  • moack.co.ltd
  • mssql.waterglue.org
  • oracle.eneygylakes.com
  • slientship.com
  • travelasist.com

SHA1

  • 02937e4a804f2944b065b843a31390ff958e2415
  • 4300938a4fd4190a47edd0d333e26c8fe2c7451e
  • 72bddead9b508597b75c1ee8be970a7ca8eb85dc
  • 8bc1f41a4ddf5cff599570ed6645b706881beeed
  • b9675d0efbc4ae92e02b3bfc8ca04b01f8877db6
  • f54f91d143399b3c9e9f7abf0c90d60b42bf25c9
  • fe011d3bdf085b23e6723e8f84dd46ba63b2c700
SEC-1275-1
Добавить комментарий