Tick APT 网络间谍组织

  • A+
所属分类:网络安全新闻

Tick APT小组已经活跃了至少十年,也被视为 青铜管家,它在2016 年首次被赛门铁克发现,并且专家们认为它是一个与中国有关的威胁演员。专家们强调,该组织能够发现某个地区(如日本和韩国)使用的软件的零日缺陷,

Tick APT 网络间谍组织

该组织一直在瞄准由韩国防务公司构建的安全USB驱动器,可能是为了危害空中系统。

专家报告说,Tick APT集团主要针对日本和韩国,但威胁演员也针对俄罗斯,新加坡和中国的组织。

使用各种专有工具和定制恶意软件观察了该团队,其中包括Minzen,Daserf(又名Nioupale),Datper和HomamDownloader。

“最近,Palo Alto Networks Unit 42发现Tick集团针对的是由韩国防务公司创建的特定类型的安全USB驱动器。” PaloAlto Networks发布的分析报告称。

“安全的USB驱动器的武器化是一种不常见的攻击技术,可能是为了扩展到无法连接到公共互联网的系统而实施的。”

Tick APT最近进行的攻击中使用的恶意代码专门针对运行Windows XP或Windows Server 2003的系统开发。

据专家介绍,该恶意软件的开发目的在于感染在政府和国防环境中经常使用的Air-gapped系统上运行的旧版Microsoft Windows。

专家们补充说,他们至今还没有发现这起袭击事件的公开报道,可能是因为威胁演员多年前使用过这种报道。

“我们尚未发现任何公开报道此类攻击的情况,我们怀疑Tick集团多年前曾利用本报告中描述的恶意软件进行攻击。根据收集的数据,我们不认为这种恶意软件是任何活动威胁活动的一部分。“报告继续说。

专家认为,黑客设法破坏安全的USB驱动器模型,将恶意软件安装在一些被感染的设备上,这些设备应该被韩国ITSC​​C认证为安全 。

PaloAlto Networks报道说,APT小组还开发了一系列称为SymonLoader的恶意软件,一旦安装在较旧的Windows系统上,机器就会寻找特定的USB驱动器。

SymonLoader被攻击者用来从安全USB驱动器加载和执行恶意软件。目前还不清楚攻击者如何破坏USB驱动器。

“由于我们没有受损的USB驱动器或未知的恶意文件,我们也无法确定这些USB驱动器是如何被破坏的。”Palo Alto继续说道。

“具体而言,我们不知道在制造这些设备的供应链中是否有成功的妥协,或者如果这些设备在制造后受到损害并且使用社会工程等其他方式进行分配。”

在调查期间,Palo Alto Networks的专家于2018年1月21日发现了一个有趣的恶意软件样本,它是日文GO游戏的特洛伊木马化版本,并且会丢弃恶意软件。

专家们将此示例与Tick群组相关联,因为Trojanized Japanese游戏中的shellcode与Trojanized Korean程序中的shellcode完全相同。

“攻击者将未知的可执行文件加密并提前将其隐藏在安全USB存储器的末端。隐藏的数据不能通过逻辑文件操作API(如ReadFile())访问。相反,SymonLoader使用逻辑块寻址(LBA)和SCSI命令从可移动驱动器上的特定预期位置物理读取数据,“研究人员解释说。

专家发表的分析报告了更多的细节,包括IOC 。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: