● Les chercheurs d'ESET ont découvert une attaque survenue dans le réseau d'une société de prévention de pertes de données en Asie de l'Est et dont les clients sont des organisations gouvernementales et militaires.
● Les chercheurs d'ESET attribuent cette attaque avec grande certitude au groupe Tick APT.
• Le but de l'attaque était très probablement le cyber-espionnage.
● Les attaquants ont déployé au moins trois familles de maliciels et compromis les serveurs de mise à jour internes ainsi que des outils tiers utilisés par l'entreprise. Deux de leurs clients ont été compromis.
● L'enquête a révélé un téléchargeur précédemment non documenté nommé ShadowPy par ESET.

BRATISLAVA, MONTREAL — Le 14 mars 2023 — Les chercheurs d'ESET ont découvert qu‘une société de prévention de pertes de données (DLP) en Asie de l'Est a été compromise. Lors de l'intrusion, les attaquants ont déployé au moins trois familles de maliciels et compromis les serveurs de mise à jour internes ainsi que des outils tiers utilisés par l'entreprise. Cela a compromis deux clients de l'entreprise. ESET attribue la campagne avec grande certitude au groupe Tick APT. D’après le profil de Tick, l'objectif de l'attaque était fort probablement le cyber-espionnage. Le portefeuille de clients de la société de DLP compte des entités gouvernementales et militaires, ce qui fait de la société compromise une cible particulièrement attrayante pour un groupe APT tel que Tick.

"Les attaquants ont compromis les serveurs de mise à jour internes de la société de DLP pour introduire des maliciels dans le réseau du développeur de logiciels, et des installateurs trojanisés d'outils tiers légitimes utilisés par la société. Ceci a finalement abouti à l'exécution de maliciels sur les ordinateurs de ses clients", explique Facundo Muñoz, le chercheur d'ESET qui a découvert cette attaque. "Lors de l'intrusion, les attaquants ont déployé un téléchargeur encore non documenté, que nous avons nommé ShadowPy. Ils ont également déployé la porte dérobée Netboy (alias Invader) ainsi que le téléchargeur Ghostdown".

L'attaque initiale a eu lieu en mars 2021 et ESET a informé l'entreprise concernée. En 2022, la télémétrie d’ESET a enregistré l'exécution de code malveillant dans les réseaux de deux clients de l'entreprise compromise. Les programmes d'installation contenant des chevaux de Troie ont été transférés via un logiciel d'assistance à distance. ESET Research suppose que cela s'est produit alors que la société de DLP fournissait une assistance technique. Les attaquants ont également compromis deux serveurs de mise à jour internes, qui ont fourni à deux reprises des mises à jour malveillantes pour le logiciel développé par la société de DLP sur des machines du réseau de cette société.

ShadowPy, le téléchargeur encore non documenté, a été développé en Python et est chargé par une version personnalisée du projet open source py2exe (http://www.py2exe.org/). ShadowPy contacte un serveur distant à partir duquel il reçoit de nouveaux scripts en Python qui sont déchiffrés et exécutés. L'ancienne porte dérobée Netboy se charge de 34 commandes, notamment la collecte d'informations système, la suppression de fichier, le téléchargement et l'exécution de programmes, la capture d'écran ainsi que les mouvements de souris et de clavier demandés par son contrôleur.

Tick (aussi connu sous le nom de BRONZE BUTLER ou REDBALDKNIGHT) est un groupe APT probablement actif depuis au moins 2006 ciblant principalement les pays de la région APAC. Ce groupe est intéressant pour ses opérations de cyber-espionnage, qui se focalisent sur le vol d'informations classifiées et de propriété intellectuelle. Tick utilise un ensemble d'outils exclusifs de maliciels personnalisés conçus pour un accès permanent aux machines compromises ainsi que la reconnaissance, l'exfiltration de données et le téléchargement d'outils.

Pour plus d'informations techniques sur cette campagne Tick, consultez le blog “The slow Tick-ing time bomb: Tick APT group compromise of a DLP software developer in East Asia” sur www.WeLiveSecurity.com. Suivez aussi ESET Research sur Twitter (ESET Research on Twitter )pour les dernières nouvelles d'ESET Research.

A propos d’ESET Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/