Tick visava clientes de alto valor da empresa de prevenção de perda de dados da Ásia Oriental
15 de Março de 2023

Um ator de ciberespionagem conhecido como Tick foi atribuído com alta confiança a uma violação de uma empresa de prevenção de perda de dados (DLP) do leste asiático que atende a entidades governamentais e militares.

"Os atacantes comprometeram os servidores internos de atualização da empresa DLP para fornecer malware dentro da rede do desenvolvedor de software e instaladores trojanizados de ferramentas legítimas usadas pela empresa, o que resultou eventualmente na execução de malware nos computadores dos clientes da empresa", disse o pesquisador da ESET Facundo Muñoz.

O Tick, também conhecido como Bronze Butler, Stalker Panda, REDBALDKNIGHT e Stalker Taurus, é um coletivo suspeito alinhado com a China que tem como alvo principalmente empresas do governo, manufatura e biotecnologia no Japão.

Diz-se que está ativo desde pelo menos 2006.

Outros alvos menos conhecidos incluem empresas russas, cingapurianas e chinesas.

As cadeias de ataque orquestradas pelo grupo geralmente usam e-mails de spear-phishing e comprometimentos estratégicos da web como ponto de entrada.

Em fevereiro de 2021, o Tick surgiu como um dos atores de ameaças que capitalizaram as falhas do ProxyLogon no Microsoft Exchange Server como um dia zero para lançar um backdoor baseado em Delphi em um servidor da web pertencente a uma empresa de TI sul-coreana.

Ao mesmo tempo, acredita-se que o coletivo adversário tenha ganhado acesso à rede de uma empresa de desenvolvimento de software do leste asiático por meios desconhecidos.

O nome da empresa não foi divulgado.

Isso foi seguido pela implantação de uma versão adulterada de um aplicativo legítimo chamado Q-Dir para lançar um backdoor de script VB de código aberto chamado ReVBShell, além de um downloader anteriormente não documentado chamado ShadowPy.

ShadowPy, como o nome indica, é um downloader Python responsável por executar um script Python recuperado de um servidor remoto.

Variantes de um backdoor Delphi chamado Netboy (também conhecido como Invader ou Kickesgo), que possui recursos de coleta de informações e shell reverso, foram entregues durante a invasão, bem como outro downloader denominado Ghostdown.

"Para manter o acesso persistente, os atacantes implantaram DLLs de carregador maliciosas juntamente com aplicativos assinados legítimos vulneráveis ​​à sequestro de ordem de pesquisa de DLL", disse Muñoz.

"O objetivo dessas DLLs é decodificar e injetar uma carga útil em um processo designado".

Subsequentemente, em fevereiro e junho de 2022, os instaladores trojanizados do Q-Dir foram transferidos via ferramentas de suporte remoto como helpU e ANYSUPPORT para duas empresas clientes da empresa, uma empresa de engenharia e uma empresa de manufatura localizadas no leste asiático.

A empresa de cibersegurança eslovaca disse que o objetivo aqui não era realizar um ataque à cadeia de suprimentos contra seus clientes a jusante, mas sim que o instalador falso foi "inadvertidamente" usado como parte das atividades de suporte técnico.

O incidente também está provavelmente relacionado a outro cluster não atribuído detalhado pela AhnLab em maio de 2022 que envolveu o uso de arquivos de Ajuda HTML compilados pela Microsoft (.CHM) para lançar o implante ReVBShell.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...