В марте 2023 года компания Eset проанализировала вредоносное ПО, обнаруженное у одного из производителей DLP в Восточной Азии, и объявила, что за него ответственна группа Tick.
Группа Tick действует в основном в Корее и Японии с 2014 года, нацеливаясь на различные отрасли, такие как аэрокосмическая, военная, оборонная промышленность, тяжелая промышленность, электроника, телекоммуникации, правительственные учреждения и дипломатия.
Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security (ASEC) подтвердил дополнительную активность этой группы и будет раскрывать ее здесь.
Модифицированные варианты Q-Dir
С января 2021 по август 2022 года Центр экстренного реагирования AhnLab Security (ASEC) обнаружил в Корее 3 дополнительных вредоносных программы, замаскированных под Q-Dir.
Два из подтвержденных вариантов содержат бэкдор ReVBSHell, но вариант (md5: 00b170970d46c9212b6d75ce7afc0870), обнаруженный в августе 2022 года, создает файл FTP-сервера.
Вариант ShadowPY
Eset также раскрыла информацию о вредоносной программе ShadowPY, использованной в атаке, и при проверке оказалось, что она похожа на вредоносную программу, о которой сообщил AhnLab в сентябре 2021 года клиент из Кореи.
В качестве загрузчика тогда использовалась программа avshadow.exe компании Avira, а имя вредоносного DLL-файла также было vssapi.dll. Оба эти факта совпадают с информацией, раскрытой компанией Eset.
Связь с Operation Triple Tiang
Компания Eset показала, что существует вероятность того, что операция Triple Tiang, о которой сообщил AhnLab, связана с группой Tick.
Операция Triple Tiang - это кампания кибератак, направленная на политический и дипломатический секторы Кореи. На момент выхода отчета в 2022 году явный виновник этой кампании не был определен.
Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security (ASEC) подтвердил, что дроппер ReVBSHell, использовавшийся в операции Triple Tiang, и вариант дроппера ReVBSHell, использовавшийся в атаке на производителя DLP, используют одну и ту же технику.
Оба дроппера проверяют количество файлов в папке temp при запуске вредоносной программы и создают файл вредоносной программы только тогда, когда их количество превышает определенное значение (10 или 18 в зависимости от варианта).
Учитывая, что они оба используют один и тот же ReVBSHell, а их дропперы используют похожие коды, существует большая вероятность того, что за операцией "Triple Tiang" стоит группа Tick.
Indicators of Compromise
MD5
- 00b170970d46c9212b6d75ce7afc0870
- 19d0edc452b32b0d3da407459a1a9c56
- 2db7b0e8b0a3b7f142c4246d8c8bf892
- 31329cce9d0517233053b5363f06f5af
- 574df15b8bc888750ca28dd4f4f11fae
- cb4a15d941a20985d145cd99fcaf3c82
- ddbd1fcf0c332ce8dc38f6b48b29c597
- ed97cf996bda070de3b7fa1e75b762b1
