ESET-Forscher haben eine Kampagne entdeckt, die wir mit hoher Wahrscheinlichkeit der APT-Gruppe Tick zuschreiben. Der Vorfall ereignete sich im Netzwerk eines ostasiatischen Unternehmens, das Data-Loss-Prevention-Software (DLP) entwickelt.
Die Angreifer kompromittierten die internen Update-Server des DLP-Unternehmens, um Malware in das Netzwerk des Softwareentwicklers einzuschleusen, und trojanisierten Installationsprogramme legitimer Tools des Unternehmens, was schließlich zur Ausführung von Malware auf den Computern der Kunden des Unternehmens führte.
In diesem Blogpost stellen wir technische Details zu der Malware vor, die in den Netzwerken des angegriffenen Unternehmens und seiner Kunden entdeckt wurde. Während des Eindringens setzten die Angreifer einen bisher nicht dokumentierten Downloader namens ShadowPy sowie die Netboy-Backdoor (auch bekannt als Invader) und den Ghostdown-Downloader ein.
Aufgrund des Profils von Tick und des hochwertigen Kundenportfolios des kompromittierten Unternehmens war das Ziel des Angriffs höchstwahrscheinlich Cyberspionage. Wie das DLP-Unternehmen ursprünglich kompromittiert wurde, ist unbekannt.
Die wichtigsten Punkte in diesem Blogpost:
- ESET-Forscher entdeckten einen Angriff auf das Netzwerk eines ostasiatischen Unternehmens für Data Loss Prevention, zu dessen Kundenkreis Regierungs- und Militäreinrichtungen zählen.
- ESET-Forscher führen diesen Angriff mit hoher Wahrscheinlichkeit auf die Tick APT-Gruppe zurück.
- Die Angreifer setzten mindestens drei Malware-Familien ein und kompromittierten die von dem Unternehmen verwendeten Update-Server und Tools. Infolgedessen wurden zwei der Kunden des Unternehmens kompromittiert.
- Bei der Untersuchung wurde ein bisher nicht dokumentierter Downloader namens ShadowPy entdeckt.
Tick Übersicht
Tick (auch bekannt als BRONZE BUTLER oder REDBALDKNIGHT) ist eine APT-Gruppe, die vermutlich seit mindestens 2006 aktiv ist und hauptsächlich Länder in der APAC-Region angreift. Diese Gruppe ist aufgrund ihrer Cyberspionage-Operationen, die sich auf den Diebstahl von Verschlusssachen und geistigem Eigentum konzentrieren, von Interesse.
Tick verwendet ein exklusives benutzerdefiniertes Malware-Toolset, das für den dauerhaften Zugriff auf kompromittierte Rechner, die Erkundung, die Datenexfiltration und den Download von Tools entwickelt wurde. In unserem jüngsten Bericht über die Aktivitäten von Tick wurde festgestellt, dass die Gruppe die ProxyLogon-Schwachstelle ausnutzte, um ein südkoreanisches IT-Unternehmen zu kompromittieren. Sie gehörte zu den Gruppen, die Zugang zu dieser Schwachstelle für die Remotecodeausführung hatten, bevor diese öffentlich bekannt wurde. Obwohl es sich noch um eine Zero-Day-Schwachstelle handelt, nutzte die Gruppe die Schwachstelle zur Installation einer Webshell, um eine Backdoor auf einem Webserver einzurichten.
Übersicht der Angriffe
Im März 2021 verschafften sich Angreifer auf unbekannte Weise Zugang zum Netzwerk eines ostasiatischen Softwareentwicklungsunternehmens.
Die Angreifer setzten persistente Malware ein und ersetzten Installationsprogramme einer legitimen Anwendung namens Q-Dir durch trojanisierte Kopien, die bei der Ausführung eine Open-Source-VBScript-Backdoor namens ReVBShell sowie eine Kopie der legitimen Q-Dir-Anwendung ablegten. Dies führte zur Ausführung von bösartigem Code in den Netzwerken von zwei Kunden des kompromittierten Unternehmens, als die trojanisierten Installationsprogramme über Remote-Support-Software übertragen wurden - unsere Hypothese ist, dass dies geschah, während das DLP-Unternehmen seinen Kunden technischen Support bot.
Die Angreifer kompromittierten auch Update-Server, die in zwei Fällen bösartige Updates an Rechner innerhalb des Netzwerks des DLP-Unternehmens lieferten. Mithilfe der ESET-Telemetrie konnten wir keine weiteren Fälle von bösartigen Updates außerhalb des Netzwerks des DLP-Unternehmens feststellen.
Zum Kundenportfolio des DLP-Unternehmens gehören Regierungs- und Militäreinrichtungen, was das kompromittierte Unternehmen zu einem besonders attraktiven Ziel für eine APT-Gruppe wie Tick macht.
Zeitleiste
Laut ESET-Telemetrie brachten die Angreifer im März 2021 Malware auf mehreren Rechnern des Softwareentwicklungsunternehmens in Umlauf. Die Malware umfasste Varianten der Netboy- und Ghostdown-Familien sowie einen bisher nicht dokumentierten Downloader namens ShadowPy.
Im April begannen die Angreifer damit, trojanisierte Kopien der Q-dir-Installationsprogramme in das Netzwerk des angegriffenen Unternehmens einzuschleusen.
Im Juni und September 2021 lud die Komponente, die Updates für die von dem kompromittierten Unternehmen entwickelte Software durchführt, im Netzwerk des kompromittierten Unternehmens ein Paket herunter, das eine bösartige ausführbare Datei enthielt.
Im Februar und Juni 2022 wurden die trojanisierten Q-dir-Installer über Remote-Support-Tools an Kunden des kompromittierten Unternehmens übertragen.
Abbildung 1. Zeitlicher Ablauf des Angriffs und der damit verbundenen Vorfälle.
Kompromittierte Update-Server
Der erste Vorfall, bei dem ein Update mit Malware registriert wurde, ereignete sich im Juni und dann erneut im September 2021. In beiden Fällen wurde das Update an Rechner innerhalb des Netzwerks des DLP-Unternehmens geliefert.
Das Update kam in Form eines ZIP-Archivs, das eine bösartige ausführbare Datei enthielt. Sie wurde von einem legitimen Update-Agenten über eine von dem kompromittierten Unternehmen entwickelte Software bereitgestellt und ausgeführt. Die Kette der Kompromittierung wird in Abbildung 2 gezeigt.
Abbildung 2. Übersicht des Angriffsverlaufs
Der erste entdeckte Fall ereignete sich im Juni 2021, und das Update wurde von einem internen Server heruntergeladen und installiert. Der zweite Fall trat im September 2021 auf, und zwar von einem öffentlich zugänglichen Server.
Die bösartige ausführbare Datei stellt eine HTTP-GET-Anfrage an http://103.127.124[.]117/index.html, um den Schlüssel zur Entschlüsselung der eingebetteten Payloads zu erhalten, die mit dem RC6-Algorithmus verschlüsselt sind. Die Payloads werden im Verzeichnis %TEMP% mit einem zufälligen Namen und einer .vbe-Erweiterung abgelegt und dann ausgeführt.
Obwohl wir das abgelegte Sample von dem kompromittierten Rechner nicht erhalten haben, sind wir aufgrund der Erkennung (VBS/Agent.DL) sehr zuversichtlich, dass es sich bei dem entdeckten Skript um die Open-Source-Backdoor ReVBShell handelt.
Mithilfe der ESET-Telemetrie konnten wir keine Kunden des DLP-Unternehmens identifizieren, die bösartige Dateien über die von diesem Unternehmen entwickelte Software erhalten hatten. Unsere Hypothese ist, dass die Angreifer die Update-Server kompromittiert haben, um sich seitlich im Netzwerk zu bewegen, und nicht, um einen Supply-Chain-Angriff gegen externe Kunden durchzuführen.
Trojanisierte Q-Dir Installationsprogramme
Q-Dir ist eine legitime, von SoftwareOK entwickelte Anwendung, die es dem Benutzer ermöglicht, in vier Ordnern gleichzeitig im selben Fenster zu navigieren, wie in Abbildung 3. Wir gehen davon aus, dass die legitime Anwendung Teil eines Toolkits ist, das von Mitarbeitern des kompromittierten Unternehmens verwendet wird, da wir wissen, woher die Entdeckungen innerhalb des Netzwerks stammen.
Abbildung 3. Screenshot der Q-Dir Anwendung
Laut ESET-Telemetrie begannen die Angreifer im April 2021, also zwei Monate vor der Entdeckung der bösartigen Updates, damit, 32- und 64-Bit-Installationsprogramme der Anwendung in das Netzwerk des angegriffenen Unternehmens einzuschleusen.
Wir fanden zwei Fälle im Februar und Juni 2022, in denen die trojanisierten Installationsprogramme von den Fernwartungstools helpU und ANYSUPPORT auf die Computer von zwei Unternehmen in Ostasien übertragen wurden, von denen das eine im Maschinenbau und das andere in der verarbeitenden Industrie tätig war.
Auf diesen Computern war Software des kompromittierten Unternehmens installiert, und der trojanisierte Q-dir-Installer wurde Minuten nach der Installation der Support-Software durch die Benutzer empfangen.
Unsere Hypothese ist, dass die Kunden des kompromittierten DLP-Unternehmens über eine dieser Remote-Support-Anwendungen technischen Support von diesem Unternehmen erhalten haben und der bösartige Installer unwissentlich verwendet wurde, um die Kunden des DLP-Unternehmens zu betreuen; es ist unwahrscheinlich, dass die Angreifer Support-Tools installiert haben, um die trojanisierten Installer selbst zu übertragen.
32-Bit-Installationsprogramm
Die zur Trojanisierung des Installationsprogramms verwendete Technik besteht darin, Shellcode am Ende der Section Headers-Tabelle einzuschleusen. Die Anwendung wurde mit 0x1000 für FileAlignment und SectionAlignment kompiliert, was eine Lücke von 0xD18 Bytes hinterließ - groß genug, um den bösartigen, positionsunabhängigen Shellcode unterzubringen. Der Einstiegspunkt der Anwendung wird mit einer JMP-Anweisung gepatcht, die auf den Shellcode verweist und sich direkt nach dem Aufruf von WinMain befindet (Abbildung 4); daher wird der bösartige Code erst ausgeführt, nachdem der legitime Code der Anwendung seine Ausführung beendet hat.
Abbildung 4. Der Assemblercode zeigt die JMP-Anweisung, die den Ausführungsfluss zum Shellcode umleitet. Der hexadezimale Dump zeigt den Shellcode am Ende des PE-Abschnittsheaders.
Der in Abbildung 5 gezeigte Shellcode lädt standardmäßig eine unverschlüsselte Paypload von http://softsrobot[.]com/index.html nach %TEMP%\ChromeUp.exe herunter. Wenn die Datei nicht erstellt werden kann, erhält sie mithilfe der API GetTempFileNameA einen neuen Namen.
Abbildung 5. Dekompilierter Code der Funktion, die das Herunterladen der Binärdatei und das Schreiben auf die Festplatte steuert
64-Bit-Installationsprogramm
Während nur ein bösartiger 32-Bit-Installer gefunden wurde, wurden die 64-Bit-Installer an mehreren Stellen im Netzwerk des DLP-Unternehmens entdeckt. Das Installationsprogramm enthält die Q-Dir-Anwendung und eine verschlüsselte (VBE) ReVBShell-Backdoor, die von den Angreifern angepasst wurde; beide Dateien wurden mit LZO komprimiert und mit RC6 verschlüsselt. Die Dateien werden im Verzeichnis %TEMP% abgelegt und ausgeführt.
ReVBShell
ReVBShell ist eine quelloffene Backdoor mit sehr einfachen Fähigkeiten. Der Backdoor-Code ist in VBScript und der Controller-Code in Python geschrieben. Die Kommunikation mit dem Server erfolgt über HTTP mit GET- und POST-Anfragen.
Die Backdoor unterstützt mehrere Befehle, darunter:
- Abrufen von Computername, Betriebssystemname, Architektur und Sprachversion des Betriebssystems
- Benutzername und Domänenname abrufen
- Abrufen von Netzwerkadapterinformationen
- Auflistung laufender Prozesse
- Ausführen von Shell-Befehlen und Zurücksenden von Ausgaben
- Wechseln des aktuellen Verzeichnisses
- Herunterladen einer Datei von einer bestimmten URL
- Hochladen einer angeforderten Datei
Wir glauben, dass die Angreifer ReVBShell Version 1.0 verwendet haben, basierend auf dem Commit-Verlauf des Hauptzweigs auf GitHub.
Mehr über die Kompromittierung des DLP-Unternehmens
In diesem Abschnitt finden Sie weitere Details zu den Tools und Malware-Familien, die Tick im Netzwerk des kompromittierten Softwareunternehmens eingesetzt hat.
Um den dauerhaften Zugriff aufrechtzuerhalten, setzten die Angreifer bösartige Loader-DLLs zusammen mit legitimen, signierten Anwendungen ein, die für DLL-Suchreihenfolge-Hijacking anfällig sind. Der Zweck dieser DLLs besteht darin, eine Payload zu entschlüsseln und in einen bestimmten Prozess zu injizieren (in allen Fällen dieses Vorfalls waren alle Loader so konfiguriert, dass sie in svchost.exe injiziert wurden).
Die Payload in jedem Loader ist eine von drei Malware-Familien: ShadowPy, Ghostdown oder Netboy. Abbildung 6 veranschaulicht den Ladevorgang.
Abbildung 6. Übersicht über den Ladevorgang von Tick-Malware
In diesem Bericht werden wir uns auf die Analyse des ShadowPy-Downloaders und der Netboy-Backdoor konzentrieren.
ShadowPy
ShadowPy ist ein Downloader, der in Python entwickelt und mit einer angepassten Version von py2exe in eine ausführbare Windows-Datei umgewandelt wurde. Der Downloader kontaktiert seinen C&C-Server, um Python-Skripte zur Ausführung zu erhalten.
Aufgrund unserer Erkenntnisse gehen wir davon aus, dass die Malware mindestens zwei Jahre vor dem Angriff auf das DLP-Unternehmen im Jahr 2021 entwickelt wurde. Wir haben keine anderen Vorfälle beobachtet, bei denen ShadowPy eingesetzt wurde.
Benutzerdefinierter py2exe-Lader
Wie bereits beschrieben, wird der bösartige DLL-Loader über DLL-Side-Loading gestartet. Im Fall von ShadowPy haben wir beobachtet, dass vssapi.dll von avshadow.exe, einer legitimen Softwarekomponente der Avira-Sicherheitssoftware-Suite, als Side-Loader verwendet wird.
Die bösartige DLL enthält, verschlüsselt in ihrem Overlay, drei Hauptkomponenten: den benutzerdefinierten py2exe-Loader, die Python-Engine und den PYC-Code. Zunächst sucht der DLL-Ladecode den benutzerdefinierten py2exe-Lader in seinem Overlay und entschlüsselt ihn mit einem NULL-erhaltenden XOR unter Verwendung von 0x56 als Schlüssel, lädt ihn dann in den Speicher und injiziert ihn in einen neuen svchost.exe-Prozess, den er erstellt. Der Unterschied zwischen dem Originalcode des py2exe-Loaders und der von Tick verwendeten angepassten Version besteht darin, dass der angepasste Loader den Inhalt der bösartigen vssapi.dll von der Festplatte liest und im Overlay nach der Python-Engine und dem PYC-Code sucht, während das Original die Engine und den PYC-Code im Ressourcenbereich findet.
Die Ladekette ist in folgender Abbildung dargestellt.
Abbildung 7. Übersicht über die Schritte zur Ausführung der PYC-Payload
Python-Downloader
Der PYC-Code ist ein einfacher Downloader, dessen Zweck es ist, ein Python-Skript abzurufen und es in einem neuen Thread auszuführen. Dieser Downloader wählt nach dem Zufallsprinzip eine URL aus einer Liste aus (obwohl bei den von uns analysierten Beispielen nur eine URL vorhanden war) und erstellt eine eindeutige ID für den kompromittierten Computer, indem er eine Zeichenfolge aus den folgenden Daten erstellt:
- Lokale IP-Adresse des Geräts
- MAC-Adresse
- Benutzername (wie von der Umgebungsvariablen %username% zurückgegeben)
- Domäne und Benutzername (Ergebnisse des Befehls whoami)
- Name des Netzwerkcomputers (wie von der Python-Funktion platform.node zurückgegeben)
- Informationen zum Betriebssystem (wie von Pythons platform.platform Funktion zurückgegeben)
- Architekturinformationen (wie von der Python-Funktion platform.architecture zurückgegeben)
Schließlich wird mit abs(zlib.crc32(<STRING>)) der Wert generiert, der als ID dienen soll. Die ID wird in der Mitte einer Zeichenkette aus zufälligen Zeichen eingefügt und weiter verschleiert, dann wird sie an die URL angehängt, wie in Abbildung 8.
Abbildung 8. Dekompilierter Python-Code, der die URL vorbereitet und die verschleierte eindeutige Benutzer-ID anhängt
Er stellt eine HTTP-GET-Anfrage an travelasist[.]com, um eine neue Payload zu erhalten, die mit einem festen Ein-Byte-Schlüssel, 0xC3, XOR-entschlüsselt und dann base64-dekodiert wird; das Ergebnis wird mit dem AES-Algorithmus im CFB-Modus mit einem 128-Bit-Schlüssel und einer mit der Payload gelieferten IV entschlüsselt. Zum Schluss wird es mit zlib dekomprimiert und in einem neuen Thread ausgeführt.
Netboy
Netboy (auch bekannt als Invader) ist eine in Delphi programmierte Backdoor, die 34 Befehle unterstützt, mit denen die Angreifer unter anderem den Bildschirm erfassen, Maus- und Tastaturereignisse auf dem kompromittierten Rechner ausführen, Dateien und Dienste manipulieren und System- und Netzwerkinformationen abrufen können.
Netzwerk-Protokoll
Netboy kommuniziert mit seinem C&C-Server über TCP. Das Paketformat, das für den Informationsaustausch zwischen der Backdoor und dem C&C-Server verwendet wird, ist in Abbildung 9 dargestellt.
Abbildung 9. Illustration des von Netboy implementierten C&C-Paketformats
Um den Fingerabdruck seiner Pakete zu erstellen, generiert er zwei Zufallszahlen (die ersten beiden Felder im Header), die mit XOR verknüpft werden (wie in Abbildung 10), um einen dritten Wert zu bilden, der zur Validierung des Pakets verwendet wird.
Abbildung 10. Dekompilierter Code, der zwei Zufallszahlen erzeugt und sie kombiniert, um einen Paket-Fingerprint-Wert zu erzeugen
Die Validierung der Pakete wird in Abbildung 11 gezeigt, wenn die Backdoor einen neuen Befehl von ihrem Controller erhält.
Abbildung 11. Dekompilierter Code, der die Validierung eines neu empfangenen Pakets durchführt
Der Paket-Header enthält auch die Größe der verschlüsselten komprimierten Daten und die Größe der unkomprimierten Daten sowie die Größe (DWORD) eines weiteren Feldes, das eine Zufallszahl enthält (die nicht zur Validierung verwendet wird), die den Daten vor der Komprimierung vorangestellt wird, wie in Abbildung 12 gezeigt.
Abbildung 12. Dekompilierter Code, der ein neues Paket erzeugt, das an den Controller gesendet wird
Zur Komprimierung verwendet Netboy eine Variante der LZRW-Familie von Komprimierungsalgorithmen und zur Verschlüsselung den RC4-Algorithmus mit einem 256-Bit-Schlüssel aus ASCII-Zeichen.
Backdoor-Befehle
Netboy unterstützt 34 Befehle; allerdings sind in Tabelle 1 nur 25 der wichtigsten Befehle, die den Angreifern bestimmte Möglichkeiten auf den kompromittierten Systemen bieten.
Tabelle 1. Die interessantesten Netboy-Backdoor-Befehle
| Command ID | Description |
|---|---|
| 0x05 | Create new TCP socket and store received data from its controller to a new file. |
| 0x06 | Create new TCP socket and read file; send contents to the controller. |
| 0x08 | Gets local host name, memory information, system directory path, and configured operating hours range for the backdoor (for example, between 14-18). |
| 0x0A | List network resources that are servers. |
| 0x0B | List files in a given directory. |
| 0x0C | List drives. |
| 0x0E | Execute program with ShellExecute Windows API. |
| 0x0F | Delete file. |
| 0x10 | List processes. |
| 0x11 | Enumerate modules in a process. |
| 0x12 | Terminate process. |
| 0x13 | Execute program and get output. |
| 0x16 | Download a new file from the server and execute with ShellExecute Windows API. |
| 0x1D | Create reverse shell. |
| 0x1E | Terminate shell process. |
| 0x1F | Get TCP and UDP connections information using the WinSNMP API. |
| 0x23 | List services. |
| 0x24 | Start service specified by the controller. |
| 0x25 | Stop service specified by the controller. |
| 0x26 | Create a new service. Details such as service name, description, and path are received from the controller. |
| 0x27 | Delete service specified by the controller. |
| 0x28 | Set TCP connection state. |
| 0x29 | Start screen capture and send to the controller every 10 milliseconds. |
| 0x2A | Stop screen capture. |
| 0x2B | Perform mouse and keyboard events requested by the controller. |
Attribution
Wir schreiben diesen Angriff mit hoher Wahrscheinlichkeit Tick zu, da die gefundene Malware bereits zuvor Tick zugeschrieben wurde und unseres Wissens nach nicht an andere APT-Gruppen weitergegeben wurde, sowie aufgrund der Ähnlichkeiten zwischen ShadowPy und dem von Netboy verwendeten Loader.
Außerdem wurden Domänen, die von den Angreifern zur Kontaktaufnahme mit ihren C&C-Servern verwendet wurden, bereits in früheren Fällen Tick zugeschrieben: waterglue[.]org im Jahr 2015 und softsrobot[.]com im Jahr 2020.
Möglicherweise verwandte Tätigkeit
Im Mai 2022 veröffentlichten Forscher von AhnLab einen Bericht über einen nicht identifizierten Bedrohungsakteur, der Unternehmen und Einzelpersonen aus Südkorea mit CHM-Dateien angreift, die eine legitime ausführbare Datei und eine bösartige DLL zum Side Loading enthalten. Der Zweck der DLL besteht darin, ein VBE-Skript im Ordner %TEMP% zu entpacken, zu entschlüsseln, abzulegen und auszuführen. Das entschlüsselte Skript offenbart erneut eine ReVBShell-Backdoor.
Wir glauben, dass diese Kampagne wahrscheinlich mit dem in diesem Bericht beschriebenen Angriff zusammenhängt, da die benutzerdefinierte ReVBShell-Backdoor beider Angriffe die gleiche ist und es mehrere Code-Ähnlichkeiten zwischen dem bösartigen 64-Bit-Installationsprogramm (SHA-1: B9675D0EFBC4AE92E02B3BFC8CA04B01F8877DB6) und dem von AhnLab beschriebenen quartz.dll-Sample (SHA-1: ECC352A7AB3F97B942A6BDC4877D9AFCE19DFE55) gibt.
Fazit
ESET-Forscher haben eine Kompromittierung eines ostasiatischen Unternehmens für Data Loss Prevention aufgedeckt. Während des Eindringens setzten die Angreifer mindestens drei Malware-Familien ein und kompromittierten Update-Server und Tools, die von dem kompromittierten Unternehmen verwendet wurden. Infolgedessen wurden zwei Kunden des Unternehmens kompromittiert.
Unsere Analyse der bei dem Angriff verwendeten bösartigen Tools ergab eine bisher nicht dokumentierte Malware, die wir ShadowPy nannten. Aufgrund von Ähnlichkeiten in der bei der Untersuchung gefundenen Malware haben wir den Angriff mit hoher Wahrscheinlichkeit der APT-Gruppe Tick zugeschrieben, die für ihre Cyberspionageoperationen in der APAC-Region bekannt ist.
Wir möchten uns bei Cha Minseok von AhnLab für die Bereitstellung von Informationen und Proben während unserer Forschung bedanken.
IoCs
Files
| SHA-1 | Filename | ESET detection name | Description |
|---|---|---|---|
| 72BDDEAD9B508597B75C1EE8BE970A7CA8EB85DC | dwmapi.dll | Win32/Netboy.A | Netboy backdoor. |
| 8BC1F41A4DDF5CFF599570ED6645B706881BEEED | vssapi.dll | Win64/ShadowPy.A | ShadowPy downloader. |
| 4300938A4FD4190A47EDD0D333E26C8FE2C7451E | N/A | Win64/TrojanDropper.Agent.FU | Trojanized Q‑dir installer, 64‑bit version. Drops the customized ReVBShell version A. |
| B9675D0EFBC4AE92E02B3BFC8CA04B01F8877DB6 | N/A | Win64/TrojanDropper.Agent.FU | Trojanized Q‑dir installer, 64‑bit version. Drops the customized ReVBShell version B. |
| F54F91D143399B3C9E9F7ABF0C90D60B42BF25C9 | N/A | Win32/TrojanDownloader.Agent.GBY | |
| FE011D3BDF085B23E6723E8F84DD46BA63B2C700 | N/A | VBS/Agent.DL | Customized ReVBShell backdoor version A. |
| 02937E4A804F2944B065B843A31390FF958E2415 | N/A | VBS/Agent.DL | Customized ReVBShell backdoor version B. |
Network
| IP | Provider | First seen | Details |
|---|---|---|---|
| 115.144.69[.]108 | KINX | 2021‑04‑14 | travelasist[.]com ShadowPY C&C server |
| 110.10.16[.]56 | SK Broadband Co Ltd | 2020‑08‑19 | mssql.waterglue[.]org Netboy C&C server |
| 103.127.124[.]117 | MOACK.Co.LTD | 2020‑10‑15 | Server contacted by the malicious update executable to retrieve a key for decryption. |
| 103.127.124[.]119 | MOACK.Co.LTD | 2021-04-28 | slientship[.]com ReVBShell backdoor version A server. |
| 103.127.124[.]76 | MOACK.Co.LTD | 2020‑06‑26 | ReVBShell backdoor version B server. |
| 58.230.118[.]78 | SK Broadband Co Ltd | 2022-01-25 | oracle.eneygylakes[.]com Ghostdown server. |
| 192.185.89[.]178 | Network Solutions, LLC | 2020-01-28 | Server contacted by the malicious 32-bit installer to retrieve a payload. |
MITRE ATT&CK techniques
This table was built using version 12 of the MITRE ATT&CK framework.
| Tactic | ID | Name | Description |
|---|---|---|---|
| Initial Access | T1195.002 | Supply Chain Compromise: Compromise Software Supply Chain | Tick compromised update servers to deliver malicious update packages via the software developed by the compromised company. |
| T1199 | Trusted Relationship | Tick replaced legitimate applications used by technical support to compromise customers of the company. | |
| Execution | T1059.005 | Command and Scripting Interpreter: Visual Basic | Tick used a customized version of ReVBShell written in VBScript. |
| T1059.006 | Command and Scripting Interpreter: Python | ShadowPy malware uses a downloader written in Python. | |
| Persistence | T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | Netboy and ShadowPy loaders persist via a Run key. |
| T1543.003 | Create or Modify System Process: Windows Service | Netboy and ShadowPy loaders persist by creating a service. | |
| T1574.002 | Hijack Execution Flow: DLL Side-Loading | Netboy and ShadowPy loaders use legitimate service and description names when creating services. | |
| Defense Evasion | T1036.004 | Masquerading: Masquerade Task or Service | Netboy and ShadowPy loaders use legitimate service and description names when creating services. |
| T1036.005 | Masquerading: Match Legitimate Name or Location | Netboy and ShadowPy loaders use legitimate service and description names when creating services. | |
| T1027 | Obfuscated Files or Information | Netboy, ShadowPy, and their loader use encrypted: payloads, strings, configuration. Loaders contain garbage code. | |
| T1027.001 | Obfuscated Files or Information: Binary Padding | Netboy and ShadowPy loaders DLLs are padded to avoid security solutions from uploading samples. | |
| T1055.002 | Process Injection: Portable Executable Injection | Netboy and ShadowPy loaders inject a PE into a preconfigured system process. | |
| T1055.003 | Process Injection: Thread Execution Hijacking | Netboy and ShadowPy loaders hijack the main thread of the system process to transfer execution to the injected malware. | |
| Discovery | T1135 | Network Share Discovery | Netboy has network discovery capabilities. |
| T1120 | Peripheral Device Discovery | Netboy enumerates all available drives. | |
| T1057 | Process Discovery | Netboy and ReVBShell have process enumeration capabilities. | |
| T1082 | System Information Discovery | Netboy and ReVBShell, gather system information. | |
| T1033 | System Owner/User Discovery | Netboy and ReVBShell, gather user information. | |
| T1124 | System Time Discovery | Netboy uses system time to contact its C&C only during a certain time range. | |
| Lateral Movement | T1080 | Taint Shared Content | Tick replaced legitimate applications used by technical support, which resulted also in malware execution within the compromised network on previously clean systems. |
| Collection | T1039 | Data from Network Shared Drive | Netboy and ReVBShell have capabilities to collect files. |
| T1113 | Screen Capture | Netboy has screenshot capabilities. | |
| Command and Control | T1071.001 | Application Layer Protocol: Web Protocols | ShadowPy and ReVBShell communicate via HTTP protocol with their C&C server. |
| T1132.001 | Data Encoding: Standard Encoding | Tick’s customized ReVBShell uses base64 to encode communication with their C&C servers. | |
| T1573 | Encrypted Channel | Netboy uses RC4. ShadowPy uses AES. | |
| Exfiltration | T1041 | Exfiltration Over C2 Channel | Netboy and ReVBShell have exfiltration capabilities. |
| T1567.002 | Exfiltration Over Web Service: Exfiltration to Cloud Storage | Tick deployed a custom tool to download and exfiltrate files via a web service. |
