Tick APT Group Hacked East Asian DLP Software Firm
2023/03/15 InfoSecurity — 政府機関や軍事機関向けの DLP (data-loss prevention) ソフトウェアを開発する、東アジアの企業を標的とした新たなマルウェアキャン・ペーンは、Tick という名の APT グループに起因することが判明した。2023年3月14日 (火) に ESET が発表したアドバイザリによると、この脅威アクターは DLP 企業の内部アップデート・サーバに侵入し、ネットワーク内にマルウェアを配信したという。その後に、同社が使用する正規のツール・インストーラをトロイの木馬化し、同社の顧客2社のコンピュータでマルウェアが実行される状況に至ったという。
ESET のマルウェア研究者である Facundo Muñoz は、「この侵入の際に、攻撃者は ShadowPy という名前の、これまで文書化されていなかったダウンローダーを展開し、Netboy バックドア (別名 Invader) と Ghostdown ダウンローダーを展開した」と述べている。
このセキュリティ専門家によると、Tick は 2006年ころから活動しているとされる。その戦術として、侵害したマシンへの持続的なアクセス/偵察を行い、データ流出や追加ツールのダウンロードのために作成された、独自のカスタム・マルウェア・ツールセットを採用しているようだ。
最新の Tick アクティビティに関するレポートでは、ProxyLogon の脆弱性が悪用され、韓国の IT 企業が危険にさらされていることが判明している。なお、ProxyLogon とは、Windows ロゴに隠されたマルウェアにより、中東の政府を標的にする攻撃のことである。
しかし、今回の DLP 企業への攻撃は、2021年3月に ESET により発見されたものだ。この3月にハッカーはマルウェアを展開し、その数週間後に Q-Dir インストーラをトロイの木馬化したことになる。
その後に、APT グループは 2021年の 6月と9月に、標的とする企業のネットワークに侵入し、2022年2月と6月にトロイの木馬化した Q-dir インストーラーを展開している。Muñoz は、「Tick のプロファイルと、侵害された企業の顧客ポートフォリオを考慮すると、攻撃の目的はサイバー・スパイである可能性が高い」と述べている。
DLP 企業への侵害の方法は、現在のところ不明である。しかし ESET は、同社の顧客がリモート・サポート・アプリケーションを介したテクニカル・サポートを受けており、悪意のインストーラが顧客のマシンで検知されることなく使用されたと仮定している。Muñoz は、「攻撃者がサポート・ツールをインストールし、トロイの木馬化したインストーラを自分で転送したとは考えにくい」と付け加えている。
Tick は、アジアに拠点を置く企業を標的としている、数多くの ATP グループの1つである。最近になって Check Point Research (CPR) は、Sharp Panda という名の脅威アクターによる、アジアでのスパイ活動の拡大について詳述した、アドバイザリを発表している。
この記事のベースになっているのは、ESET の The slow Tick‑ing time bomb: Tick APT group compromise of a DLP software developer in East Asia というレポートです。この1年の ESET を振り返ってみると、今日の記事のような APT を追跡するという指向性が強まっているように思えます。ウクライナと国境を接するスロバキアの企業なので、サイバー戦争という局面で、ロシアに対して敏感になるのは、当然のリアクションだと思えます。
IoT OT Security News 
You must be logged in to post a comment.