Business
Trending
De beste e-bikes Telenet verhoogt prijzen Windows 10-account Goedkoper laden bij Tesla Windows 12 naar 2025 TechPulse op WhatsApp
  1. Home
  3. Wire
  5. ESET Research: cyberspionagegroep Tick compromitteert softwarebedrijf gespecialisserd in voorkoming van gegevensverlies in Oost-Azië
Wire
Onze partner

ESET Research: cyberspionagegroep Tick compromitteert softwarebedrijf gespecialisserd in voorkoming van gegevensverlies in Oost-Azië

ESET logo
© ESET
Onderzoekers van ESET ontdekten een compromis bij een Oost-Aziatisch bedrijf ter voorkoming van gegevensverlies (Data Loss Prevention -DLP).

Tijdens de inbraak hebben de aanvallers minstens drie malwarefamilies ingezet. Interne updateservers en tools van derden die door het getroffen bedrijf worden gebruikt, werden gecompromitteerd. Hierdoor werden twee klanten van het bedrijf gecompromitteerd. ESET schrijft de campagne met veel vertrouwen toe aan APT-groep Tick. Volgens het profiel van Tick was het doel van de aanval hoogstwaarschijnlijk cyberspionage. De klantenportefeuille van het DLP-bedrijf omvat overheids- en militaire organisaties, zodat het gecompromitteerde bedrijf een bijzonder aantrekkelijk doelwit is voor een APT-groep zoals Tick.

“De aanvallers hebben de interne updateservers van het DLP-bedrijf gecompromitteerd om malware binnen het netwerk van de softwareontwikkelaar in te brengen, en trojaniseerden installatieprogramma’s van legitieme tools van derden die het bedrijf gebruikt. Dit resulteerde in de uitvoering van malware op de computers van zijn klanten”, zegt Facundo Muñoz, de ESET-onderzoeker die de nieuwste operatie van Tick ontdekte. “Tijdens de inbraak gebruikten de aanvallers een nog niet gedocumenteerde downloader, die we ShadowPy hebben genoemd, de Netboy backdoor (aka Invader) alsook de Ghostdown-downloader.”

De eerste aanval dateert van maart 2021. ESET bracht het bedrijf hiervan op de hoogte. In 2022 registreerde de ESET-telemetrie de uitvoering van kwaadaardige code in de netwerken van twee klanten van het gecompromitteerde bedrijf. Daar getrojaniseerde installatieprogramma’s werden ingevoerd via software voor ondersteuning op afstand. ESET veronderstelt dat dit gebeurde terwijl het DLP-bedrijf technische ondersteuning bood. De aanvallers compromoteerden ook twee interne updateservers, die twee maal kwaadaardige updates voor de door het DLP-bedrijf ontwikkelde software hebben afgeleverd op machines binnen het netwerk van dit bedrijf.

ShadowPy, de nog niet gedocumenteerde downloader, is in Python ontwikkeld en wordt geladen via een aangepaste versie van het open source-project py2exe (http://www.py2exe.org/). ShadowPy maakt contact met een externe server waarvan het nieuwe Python-scripts ontvangt die gedecodeerd en uitgevoerd worden. De oudere Netboy backdoor ondersteunt 34 commando‘s, zoals het verzamelen van systeeminformatie, het verwijderen van een bestand, het downloaden en uitvoeren van programma’s, het uitvoeren van schermopnamen en muis- en toetsenbordacties aangevraagd door zijn controller.

Tick (ook als BRONZE BUTLER of REDBALDKNIGHT bekend) is een APT-groep actief sinds minstens 2006, die zich voornamelijk richt op landen in de APAC-regio. Deze groep is interessant door zijn cyberspionage gericht op het stelen van geheime informatie en intellectueel eigendom. Tick gebruikt een exclusieve op maat gemaakte, malware-toolset ontworpen voor permanente toegang tot gecompromitteerde machines, verkenning, data-exfiltratie en het downloaden van tools.

Voor meer technische informatie over deze campagne, lees de blog The slow Tick-ing time bomb: Tick APT group compromise of a DLP software developer in East Asia op WeLiveSecurity. Volg ESET Research on Twitter voor de nieuwste info over ESET Research.

Tijdlijn van de aanval en gerelateerde incidenten

ESET DLP aanval
Onze partner

Gerelateerde artikelen

Nieuwsbrief

Volg ons

Instagram
YouTube
69% korting + 3 maanden gratis

69% korting + 3 maanden gratis

Bezoek NordVPN

Trending berichten

Business