-->
الصفحة الرئيسية

استهدفت Tick APT العملاء ذوي القيمة العالية لشركة منع فقدان البيانات في شرق آسيا

 


يُنسب ممثل التجسس الإلكتروني المعروف باسم Tick بثقة عالية إلى حل وسط لشركة منع فقدان البيانات في شرق آسيا (DLP) التي تقدم خدماتها للكيانات الحكومية والعسكرية.

"قام المهاجمون باختراق خوادم التحديث الداخلية لشركة DLP لتقديم برامج ضارة داخل شبكة مطور البرامج ، ومثبتات طروادة للأدوات الشرعية التي تستخدمها الشركة ، مما أدى في النهاية إلى تنفيذ برامج ضارة على أجهزة كمبيوتر عملاء الشركة ،" الباحث في ESET Facundo قال مونيوز .

تعد Tick ، ​​المعروفة أيضًا باسم Bronze Butler و Stalker Panda و REDBALDKNIGHT و Stalker Taurus ، مجموعة مشتبه بها متحالفة مع الصين وقد استهدفت بشكل أساسي شركات الحكومة والتصنيع والتكنولوجيا الحيوية في اليابان. يقال أنه نشط منذ عام 2006 على الأقل .

تشمل الأهداف الأخرى الأقل شهرة الشركات الروسية والسنغافورية والصينية. استفادت سلاسل الهجوم التي نظمتها المجموعة عادةً من رسائل البريد الإلكتروني الخاصة بالخداع والتزوير الاستراتيجي على الويب كنقطة دخول.

في أواخر فبراير 2021 ، ظهر Tick كواحد من الجهات الفاعلة في التهديد للاستفادة من عيوب ProxyLogon في Microsoft Exchange Server باعتباره يومًا صفرًا لإسقاط باب خلفي قائم على Delphi في خادم ويب تابع لشركة تكنولوجيا معلومات كورية جنوبية.


في نفس الوقت تقريبًا ، يُعتقد أن جماعة الخصوم قد تمكنت من الوصول إلى شبكة شركة مطور برمجيات من شرق آسيا من خلال وسائل غير معروفة. لم يتم الكشف عن اسم الشركة.

تبع ذلك نشر إصدار تم التلاعب به من تطبيق شرعي يسمى Q-Dir لإسقاط باب خلفي مفتوح المصدر VBScript يسمى ReVBShell ، بالإضافة إلى برنامج تنزيل غير موثق سابقًا باسم ShadowPy.

ShadowPy ، كما يشير الاسم ، هو برنامج تنزيل Python مسؤول عن تنفيذ برنامج Python النصي الذي تم استرداده من خادم بعيد.


كما تم تسليمها أثناء الاقتحام متغيرات من باب خلفي لدلفي يسمى Netboy (المعروف أيضًا باسم Invader أو Kickesgo) والذي يأتي مع جمع المعلومات وإمكانيات shell العكسية بالإضافة إلى برنامج تنزيل آخر يحمل الاسم الرمزي Ghostdown.

وقال مونيوز: "للحفاظ على الوصول المستمر ، قام المهاجمون بنشر ملفات DLL المحمل الخبيث جنبًا إلى جنب مع التطبيقات الموقعة المشروعة المعرضة لاختطاف ترتيب بحث DLL". "الغرض من مكتبات DLL هذه هو فك شفرة وحقن حمولة في عملية معينة."

بعد ذلك ، في فبراير ويونيو 2022 ، تم نقل مثبتات Q-Dir المكوّنة من حصان طروادة عبر أدوات الدعم عن بعد مثل helpU و ANYSUPPORT إلى اثنين من عملاء الشركة ، وهي شركة هندسية وشركة تصنيع تقع في شرق آسيا.

قالت شركة الأمن السيبراني السلوفاكية إن الهدف هنا لم يكن تنفيذ هجوم على سلسلة التوريد ضد عملائها في المصب ، ولكن بدلاً من ذلك ، تم استخدام المثبت المحتال "عن غير قصد" كجزء من أنشطة الدعم الفني.

من المحتمل أيضًا أن يكون الحادث مرتبطًا بمجموعة أخرى غير منسوبة تم تفصيلها بواسطة AhnLab في مايو 2022 والتي تضمنت استخدام ملفات Microsoft Compiled HTML Help (.CHM) لإسقاط غرسة ReVBShell.


author-img

Almoktachif Computer Technologie

تعليقات
ليست هناك تعليقات
إرسال تعليق
    الاسمبريد إلكترونيرسالة