Nhóm tấn công APT Tick phát tán phần mềm độc hại nhằm thực hiện các hành động trái phép

Nhóm tấn công APT Tick của Trung Quốc hay còn được biết đến với những cái tên như Bronze Butler, REDBALDKNIGHT, Stalker Panda, và Stalker Taurus đã nhằm mục tiêu vào một công ty ở Đông Á đang phát triển phần mềm Data-Loss Prevention (DLP).

Nhóm tấn công đã xâm nhập các máy chủ của công ty nhằm phân phối phần mềm độc hại để truy cập, thực hiện các hành động trái phép. Theo các nhà nghiên cứu, nhóm tấn công này đã khai thác lỗ hổng ProxyLogon để xâm nhập vào công ty trong lĩnh vực công nghệ thông tin của Hàn Quốc kể từ đầu năm 2021.

Ngoài ra, nhóm cũng có được quyền truy cập vào mạng nội bộ của công ty phát triển phần mềm ở Đông Á. Mục tiêu của nhóm tấn công nhằm vào các công ty phát triển phần mềm DLP, tổ chức chính phủ và quân đội. Sau khi giành được quyền truy cập thông qua backdoor, đối tượng tấn công bắt đầu phát tán phần mềm độc hại trên hệ thống của công ty.

Vào tháng 04/2021, nhóm tấn công APT Tick đã giả mạo phần mềm Q-Dir để triển khai VBScript backdoor có tên gọi ReVBShell. Vào tháng 6 và tháng 9/2021, phần mềm DLP đã cung cấp các bản cập nhật dưới dạng tệp lưu trữ zip chứa các tệp độc hại.

Sau đó, vào tháng 2 và tháng 6/2022, Q-Dir đã bị trojan hóa thành công cụ hỗ trợ từ xa như helpU và ANYSUPPORT. Nhóm đối tượng tấn công đã duy trì quyền truy cập bằng cách triển khai DLL độc hại để giải mã và đưa payload vào một quy trình được chỉ định.

Payload này bao gồm một trình tải xuống có tên ShadowPy và một biến thể của Netbot (còn được gọi là Invader hoặc Kickesgo) hoặc một trình tải xuống có tên mã là Ghostdown.

Link nội dung: https://doanhnhandautu.net/nhom-tan-cong-apt-tick-phat-tan-phan-mem-doc-hai-nham-thuc-hien-cac-hanh-dong-trai-phep-a9517.html