Tick APT は、東アジアのデータ損失防止会社の高価値顧客を標的にしました from thehackernews.com

Tick として知られるサイバースパイ活動のアクターは、政府や軍の組織に対応する東アジアのデータ損失防止 (DLP) 企業の侵害に高い確信を持って帰せられています。
「攻撃者は DLP 会社の内部更新サーバーを侵害して、ソフトウェア開発者のネットワーク内にマルウェアを配信し、会社が使用する正規ツールのインストーラーをトロイの木馬化し、最終的に会社の顧客のコンピューターでマルウェアを実行しました」ESET の研究者であるファクンド ムニョス氏言った。
2021 年 2 月下旬、Tick は攻撃者の 1 人として登場し、Microsoft Exchange Server の ProxyLogon の欠陥をゼロデイとして利用して、韓国の IT 企業に Delphi ベースのバックドアを仕掛けました。
これに続いて、Q-Dir と呼ばれる正当なアプリケーションの改ざんされたバージョンが展開され、ReVBShell という名前のオープン ソース VBScript バックドアと、以前は文書化されていなかった ShadowPy という名前のダウンローダーがドロップされました。
その後、2022 年 2 月と 6 月に、トロイの木馬化された Q-Dir インストーラーが、helpU や ANYSUPPORT などのリモート サポート ツールを介して、同社の 2 つの顧客である東アジアにあるエンジニアリング会社と製造会社に転送されました。
スロバキアのサイバーセキュリティ会社は、ここでの目的は下流の顧客に対してサプライチェーン攻撃を実行することではなく、技術サポート活動の一部として「知らないうちに」不正なインストーラーが使用されたと述べました.