0 |
Компанія Eset повідомляє про виявлення компрометації азійського розробника рішень для запобігання втраті даних (DLP). Зокрема зловмисники розгорнули щонайменше три сімейства шкідливих програм та скомпрометували внутрішні сервери оновлень і сторонні інструменти, які використовує компанія. У результаті кіберзлочинці також інфікували двох клієнтів цієї компанії.
Спеціалісти Eset пов’язують атаку з APT-групою Tick, метою якої, ймовірніше, було кібершпигунство. До клієнтів цієї DLP-компанії належать державні та військові організації, що робить її особливо привабливою ціллю для APT-групи Tick.
Як вважають дослідники, перша атака сталася в березні 2021 року, і спеціалісти Eset повідомили компанію про компрометацію. У 2022 році телеметрія Eset зафіксувала виконання шкідливого коду в мережах двох скомпрометованих клієнтів цієї DLP-компанії. Оскільки шкідливі інсталятори були передані через програму віддаленої підтримки, дослідники Eset вважають, що це відбулося під час надання технічної підтримки DLP-компанією.
Зловмисники також зламали два внутрішні сервери оновлення, які двічі завантажували шкідливі оновлення для програмного забезпечення цієї компанії, на пристрої в її корпоративній мережі. Раніше незафіксований завантажувач ShadowPy, розроблений на Python, завантажується через налаштовану версію проєкту з відкритим кодом py2exe. ShadowPy зв’язується з віддаленим сервером, звідки отримує нові сценарії Python, які розшифровуються та виконуються на кінцевих точках.
Інший бекдор Netboy підтримує 34 команди, зокрема збір системної інформації, видалення файлу, завантаження та виконання програм, захоплення екрана, управління мишею та клавіатурою за запитом зловмисника.
Про DCIM у забезпеченні успішної роботи ІТ-директора
0 |