פצצת הזמן המתקתקת האיטית: פשרה של קבוצת Tick APT של מפתח תוכנת DLP במזרח אסיה

חוקרי ESET גילו קמפיין שאנו מייחסים בביטחון רב לקבוצת APT Tick. התקרית התרחשה ברשת של חברה במזרח אסיה המפתחת תוכנה למניעת אובדן נתונים (DLP).

התוקפים פשרו את שרתי העדכונים הפנימיים של חברת DLP כדי לספק תוכנות זדוניות בתוך הרשת של מפתח התוכנה, ועשו מתקינים טרויאניים של כלים לגיטימיים שבהם השתמשה החברה, מה שגרם בסופו של דבר לביצוע תוכנות זדוניות במחשבי לקוחות החברה.

בפוסט זה בבלוג, אנו מספקים פרטים טכניים על התוכנה הזדונית שזוהתה ברשתות של החברה שנפגעה ושל לקוחותיה. במהלך החדירה, התוקפים פרסו הורדה שלא תועד בעבר בשם ShadowPy, והם גם פרסו את Netboy דלת אחורית (aka פּוֹשֵׁט) ו Ghostdown מוריד.

בהתבסס על הפרופיל של Tick, ותיק הלקוחות בעל הערך הגבוה של החברה שנפגעה, מטרת המתקפה הייתה ככל הנראה ריגול סייבר. לא ידוע כיצד החברה למניעת אובדן נתונים נפגעה בתחילה.

סקירת סימון

Tick ​​(הידועה גם כ-BRONZE BUTLER או REDBALDKNIGHT) היא קבוצת APT, חשוד כפעיל מאז 2006 לפחות, מכוון בעיקר למדינות באזור APAC. קבוצה זו מעניינת את פעולות ריגול הסייבר שלה, המתמקדות בגניבת מידע מסווג וקניין רוחני.

Tick ​​מעסיקה ערכת כלים אקסקלוסיבית מותאמת אישית של תוכנות זדוניות המיועדות לגישה מתמשכת למכונות שנפגעו, סיור, חילוץ נתונים והורדה של כלים. הדוח האחרון שלנו על הפעילות של Tick מצא את זה ניצול הפגיעות של ProxyLogon לסכן חברת IT דרום קוריאנית, כאחת הקבוצות עם גישה לאותו ניצול של ביצוע קוד מרחוק לפני שהפגיעות נחשפה בפומבי. למרות שעדיין היה יום אפס, הקבוצה השתמשה ב-exploit כדי להתקין webshell כדי לפרוס דלת אחורית בשרת אינטרנט.

סקירת התקפה

במרץ 2021, באמצעים לא ידועים, התוקפים קיבלו גישה לרשת של חברת מפתחת תוכנה במזרח אסיה.

התוקפים פרסו תוכנות זדוניות מתמשכות והחליפו מתקינים של אפליקציה לגיטימית המכונה Q-dir עם עותקים טרויאניים שכאשר הוצאו להורג, הפיל קוד פתוח VBScript דלת אחורית בשם ReVBShell, כמו גם עותק של יישום Q-Dir הלגיטימי. זה הוביל לביצוע קוד זדוני ברשתות של שניים מלקוחות החברה שנפגעה כאשר המתקינים הטרויאניים הועברו באמצעות תוכנת תמיכה מרחוק – ההשערה שלנו היא שזה התרחש בזמן שחברת DLP סיפקה תמיכה טכנית ללקוחותיהם.

התוקפים גם פשרו שרתי עדכונים, שסיפקו עדכונים זדוניים בשתי הזדמנויות למכונות בתוך הרשת של חברת DLP. באמצעות טלמטריית ESET, לא זיהינו מקרים אחרים של עדכונים זדוניים מחוץ לרשת של חברת DLP.

תיק הלקוחות של חברת DLP כולל גופים ממשלתיים וצבאיים, מה שהופך את החברה הנפגעת ליעד אטרקטיבי במיוחד עבור קבוצת APT כמו Tick.

ציר זמן

על פי טלמטריה של ESET, במרץ 2021 התוקפים פרסו תוכנות זדוניות למספר מכונות של חברת מפתחת התוכנה. התוכנה הזדונית כללה גרסאות של משפחות Netboy ו-Ghostdown, ומורד לא מתועד בעבר בשם ShadowPy.

באפריל החלו התוקפים להציג עותקים טרויאניים של מתקיני Q-dir ברשת של החברה שנפגעה.

בחודשים יוני וספטמבר 2021, ברשת של החברה שנפגעה, הרכיב המבצע עדכונים לתוכנה שפיתחה החברה הנפגעת הוריד חבילה שהכילה קובץ הפעלה זדוני.

בפברואר וביוני 2022, מתקיני ה-Q-dir הטרויאניים הועברו באמצעות כלי תמיכה מרחוק ללקוחות החברה שנפגעה.

שרתי עדכונים שנפגעו

האירוע הראשון בו נרשם עדכון המכיל תוכנות זדוניות היה ביוני, ולאחר מכן שוב בספטמבר, 2021. בשני המקרים העדכון נמסר למכונות בתוך הרשת של חברת DLP.

העדכון הגיע בצורה של ארכיון ZIP שהכיל קובץ הפעלה זדוני. הוא נפרס והוצא לפועל על ידי סוכן עדכון לגיטימי מתוכנה שפותחה על ידי החברה שנפגעה. שרשרת הפשרה מומחשת באיור 2.

המקרה הראשון שזוהה התרחש ביוני 2021, והעדכון הורד משרת פנימי ונפרס. המקרה השני התרחש בספטמבר 2021, משרת הפונה לציבור.

קובץ ההפעלה הזדוני מנפיק בקשת HTTP GET ל http://103.127.124[.]117/index.html להשיג את המפתח לפענוח המטען המוטבע, המוצפן באמצעות אלגוריתם RC6. המטען ירד ל- TEMP%% ספרייה עם שם אקראי ו-a .vbe הרחבה, ולאחר מכן מבוצעת.

למרות שלא השגנו את הדגימה שנפלטה מהמכונה שנפרצה, בהתבסס על הזיהוי (VBS/Agent.DL), יש לנו ביטחון רב שהסקריפט שזוהה היה הדלת האחורית בקוד פתוח ReVBShell.

באמצעות טלמטריית ESET, לא זיהינו לקוחות של חברת DLP שקיבלו קבצים זדוניים דרך התוכנה שפיתחה אותה חברה. ההשערה שלנו היא שהתוקפים פשרו את שרתי העדכונים כדי לנוע לרוחב ברשת, לא כדי לבצע מתקפת שרשרת אספקה ​​נגד לקוחות חיצוניים.

מתקיני Q-Dir בטרויאנים

Q-Dir היא אפליקציה לגיטימית שפותחה על ידי SoftwareOK המאפשרת למשתמש שלה לנווט בארבע תיקיות בו-זמנית בתוך אותו חלון, כפי שמוצג באיור 3. אנו מאמינים שהאפליקציה הלגיטימית היא חלק מערך כלים המשמש את העובדים של הנפגעים החברה, בהתבסס על מקור הגילויים בתוך הרשת.

על פי טלמטריה של ESET, החל מאפריל 2021, חודשיים לפני זיהוי העדכונים הזדוניים, החלו התוקפים להכניס מתקינים טרויאניים של האפליקציה ב-32 ו-64 סיביות לרשת של החברה שנפגעה.

מצאנו שני מקרים, בפברואר וביוני 2022, שבהם המתקינים הטרויאניים הועברו על ידי כלי התמיכה מרחוק helpU ו-ANYSUPPORT, למחשבים של שתי חברות הממוקמות במזרח אסיה, האחת בענף ההנדסה והשנייה לתעשיית ייצור.

במחשבים אלו הותקנה תוכנה מהחברה שנפגעה, ומתקין ה-Q-dir הטרויאני התקבל דקות לאחר התקנת תוכנת התמיכה על ידי המשתמשים.

ההשערה שלנו היא שהלקוחות של חברת DLP שנפגעה קיבלו תמיכה טכנית מאותה חברה, דרך אחת מאותן יישומי תמיכה מרחוק והמתקין הזדוני שימש ללא ידיעתו כדי לתת שירות ללקוחות חברת DLP; אין זה סביר שהתוקפים התקינו כלי תמיכה להעברת המתקינים הטרויאניים עצמם.

מתקין 32 סיביות

הטכניקה המשמשת ל-Trojanize של המתקין כוללת הזרקת קוד מעטפת לחלל בסוף טבלת ה-Section Headers - האפליקציה הורכבה באמצעות 0x1000 ל יישור קבצים ו יישור סעיף, עוזב בחלל של 0xD18 בתים - גדול מספיק כדי להכיל את קוד המעטפת הזדוני, בלתי תלוי במיקום. קוד נקודת הכניסה של האפליקציה תוקן עם הוראת JMP המפנה לקוד המעטפת, וממוקם מיד לאחר הקריאה אל Winmain (איור 4); לכן הקוד הזדוני מופעל רק לאחר שהקוד הלגיטימי של היישום מסיים את ביצועו.

קוד המעטפת, המוצג באיור 5, מוריד מטעון לא מוצפן http://softsrobot[.]com/index.html ל %TEMP%ChromeUp.exe כברירת מחדל; אם לא ניתן ליצור את הקובץ, הוא מקבל שם חדש באמצעות ה- GetTempFileNameA ה-API.

מתקין 64 סיביות

בעוד שנמצא רק מתקין 32 סיביות זדוני אחד, מתקיני ה-64 סיביות זוהו במספר מקומות ברחבי הרשת של חברת DLP. המתקין מכיל את אפליקציית Q-Dir ודלת אחורית ReVBShell מקודדת (VBE) שהותאמה אישית על ידי התוקפים; שניהם נדחסו עם LZO והוצפנו עם RC6. הקבצים נשמטים ב- TEMP%% מדריך ובוצע.

ReVBShell

ReVBShell היא דלת אחורית בקוד פתוח עם יכולות בסיסיות מאוד. קוד הדלת האחורית כתוב ב-VBScript וקוד הבקר כתוב ב-Python. התקשורת עם השרת היא דרך HTTP עם בקשות GET ו-POST.

הדלת האחורית תומכת במספר פקודות, כולל:

• קבלת שם המחשב, שם מערכת ההפעלה, הארכיטקטורה וגרסת השפה של מערכת ההפעלה
• קבלת שם משתמש ושם דומיין
• קבלת מידע על מתאם רשת
• פירוט תהליכים רצים
• ביצוע פקודות מעטפת ושליחת פלט חזרה
• משנה את הספרייה הנוכחית
• הורדת קובץ מכתובת URL נתונה
• העלאת קובץ מבוקש

אנו מאמינים שהתוקפים השתמשו בגרסה 1.0 של ReVBShell, בהתבסס על היסטוריית ההתחייבויות הראשיות של הענף ב-GitHub.

עוד על הפשרה של חברת DLP

בחלק זה, אנו מספקים פרטים נוספים על כלים ומשפחות תוכנות זדוניות ש-Tick פרסה ברשת של חברת התוכנה שנפגעה.

כדי לשמור על גישה מתמשכת, התוקפים פרסו קובצי DLL זדוניים של מטעין יחד עם יישומים חתומים לגיטימיים הפגיעים לחטיפת סדר חיפוש DLL. מטרת קובצי ה-DLL הללו היא לפענח ולהחדיר מטען לתהליך ייעודי (בכל המקרים של תקרית זו, כל המעמיסים הוגדרו להזריק לתוך svchost.exe).

המטען בכל מטעין הוא אחת משלוש משפחות תוכנות זדוניות: ShadowPy, Ghostdown או Netboy. איור 6 ממחיש את תהליך הטעינה.

בדוח זה נתמקד בניתוח הורדת ShadowPy ודלת אחורית של Netboy.

ShadowPy

ShadowPy הוא תוכנת הורדה שפותחה ב-Python והומרה לקובץ הפעלה של Windows באמצעות גרסה מותאמת אישית של py2exe. המוריד יוצר קשר עם C&C שלו כדי להשיג סקריפטים של Python לביצוע.

בהתבסס על הממצאים שלנו, אנו מאמינים שהתוכנה הזדונית פותחה לפחות שנתיים לפני הפשרה של חברת DLP בשנת 2021. לא צפינו באירועים אחרים שבהם נפרס ShadowPy.

מטעין py2exe מותאם אישית

כפי שתואר קודם לכן, טוען ה-DLL הזדוני מופעל באמצעות טעינת צד של DLL; במקרה של ShadowPy צפינו vssapi.dll נטען על ידי avshadow.exe, רכיב תוכנה לגיטימי מחבילת תוכנות האבטחה Avira.

ה-DLL הזדוני מכיל, מוצפן בשכבת-העל שלו, שלושה רכיבים עיקריים: הטעינה המותאמת אישית py2exe, מנוע Python וקוד PYC. ראשית, קוד מטעין ה-DLL מאתר את מטעין ה-py2exe המותאם אישית בשכבת העל שלו ומפענח אותו באמצעות XOR המשמר NULL באמצעות 0x56 כמפתח, אז הוא טוען אותו בזיכרון ומחדיר אותו לחדש svchost.exe תהליך שהוא יוצר. לאחר מכן נקודת הכניסה של מטעין py2exe המותאם אישית מבוצעת בתהליך המרוחק. ההבדל בין קוד הטעינה המקורי של py2exe לבין הגרסה המותאמת בשימוש על ידי Tick, הוא שהמטען המותאם אישית קורא את התוכן של הקובץ הזדוני vssapi.dll מהדיסק ומחפש את מנוע Python ואת קוד ה-PYC בשכבת העל, ואילו המקורי מאתר את המנוע ואת קוד ה-PYC בסעיף המשאבים.

שרשרת הטעינה מוצגת באיור 7.

הורדת פייתון

קוד ה-PYC הוא הורדה פשוט שמטרתו לאחזר סקריפט של Python ולהפעיל אותו בשרשור חדש. הורדה זה בוחר באופן אקראי כתובת URL מרשימה (אם כי עבור הדגימות שניתחנו הייתה קיימת רק כתובת URL אחת) ובונה מזהה ייחודי עבור המחשב שנפרץ על ידי בניית מחרוזת המורכבת מהנתונים הבאים:

• כתובת IP מקומית של מחשב
• כתובת MAC
• שם משתמש (כפי שהוחזר על ידי ה %% משתמש משתנה הסביבה)
• דומיין ושם משתמש (תוצאות של Whoami הפקודה)
• שם מחשב הרשת (כפי שהוחזר על ידי Python's platform.node פוּנקצִיָה)
• מידע על מערכת ההפעלה (כפי שהוחזר על ידי Python's platform.platform פוּנקצִיָה)
• מידע אדריכלות (כפי שהוחזר על ידי Python's platform.architecture פוּנקצִיָה)

לבסוף, זה משתמש abs(zlib.crc32( )) כדי ליצור את הערך שישמש כמזהה. המזהה מוכנס באמצע מחרוזת המורכבת מתווים אקראיים ומעורפל עוד יותר, ואז הוא מצורף לכתובת ה-URL כפי שמוצג באיור 8.

זה מוציא בקשת HTTP GET ל travelasist[.]com כדי לקבל מטען חדש שמפוענח XOR עם מפתח קבוע של בתים בודדים, 0xC3, ולאחר מכן מפוענח base64; התוצאה מפוענחת באמצעות אלגוריתם AES במצב CFB עם מפתח 128 סיביות ו-IV המסופקים עם המטען. לבסוף הוא מפורק באמצעות zlib ומבוצע בשרשור חדש.

Netboy

Netboy (aka פּוֹשֵׁט) הוא דלת אחורית מתוכנתת בדלפי; הוא תומך ב-34 פקודות המאפשרות לתוקפים ללכוד את המסך, לבצע אירועי עכבר ומקלדת במחשב שנפרץ, לתפעל קבצים ושירותים ולהשיג מידע על מערכת ורשת, בין היתר.

פרוטוקול רשת

Netboy מתקשר עם שרת C&C שלה דרך TCP. פורמט החבילה המשמש להחלפת מידע בין הדלת האחורית ל-C&C שלה מתואר באיור 9.

על מנת להטביע את טביעת האצבע של החבילות שלו, הוא יוצר שני מספרים אקראיים (שני שדות ראשונים בכותרת) שמצוידים ב-XOR יחד (כמתואר באיור 10) ליצירת ערך שלישי המשמש לאימות החבילה.

אימות מנות מוצג באיור 11, כאשר הדלת האחורית מקבלת פקודה חדשה מהבקר שלו.

כותרת החבילה מכילה גם את גודל הנתונים הדחוסים המוצפנים, ואת גודל הנתונים הלא דחוסים בתוספת הגודל (DWORD) של שדה אחר המכיל מספר אקראי (לא משמש לאימות) שמוצמד לנתונים לפני דחיסתם, כפי שמוצג באיור 12.

לצורך דחיסה, Netboy משתמש בגרסה של משפחת אלגוריתמי הדחיסה LZRW ולהצפנה היא משתמשת באלגוריתם RC4 עם מפתח 256 סיביות המורכב מתווי ASCII.

פקודות דלת אחורית

Netboy תומך ב-34 פקודות; עם זאת, בטבלה 1 אנו מתארים רק 25 מהבולטים שבהם המעניקים לתוקפים יכולות מסוימות במערכות שנפרצות.

טבלה 1. פקודות Netboy המעניינות ביותר בדלת אחורית

מזהה פקודה	תיאור
0x05	צור שקע TCP חדש ואחסן נתונים שהתקבלו מהבקר שלו לקובץ חדש.
0x06	צור שקע TCP חדש וקרא קובץ; לשלוח תוכן לבקר.
0x08	מקבל שם מארח מקומי, מידע זיכרון, נתיב ספריית מערכת וטווח שעות פעילות מוגדר עבור הדלת האחורית (לדוגמה, בין 14-18).
0x0A	רשום משאבי רשת שהם שרתים.
0x0B	רשימת קבצים בספרייה נתונה.
0x0C	רשימת כוננים.
0x0E	הפעל תוכנית עם ShellExecute Windows API.
0x0F	מחק קובץ.
0x10	רשום תהליכים.
0x11	מנה מודולים בתהליך.
0x12	סיום תהליך.
0x13	הפעל תוכנית וקבל פלט.
0x16	הורד קובץ חדש מהשרת והפעל עם ShellExecute Windows API.
0x1D	צור מעטפת הפוכה.
0x1E	סיום תהליך המעטפת.
0x1F	קבל מידע על חיבורי TCP ו-UDP באמצעות ה-API של WinSNMP.
0x23	רשימת שירותים.
0x24	התחל את השירות שצוין על ידי הבקר.
0x25	עצירת השירות שצוין על ידי הבקר.
0x26	צור שירות חדש. פרטים כגון שם השירות, התיאור והנתיב מתקבלים מהבקר.
0x27	מחק את השירות שצוין על ידי הבקר.
0x28	הגדר מצב חיבור TCP.
0x29	התחל לכידת מסך ושלח לבקר כל 10 מילישניות.
0x2A	עצור את צילום המסך.
0x2B	בצע אירועי עכבר ומקלדת המבוקש על ידי הבקר.

ייחוס

אנו מייחסים את ההתקפה הזו ל-Tick בביטחון גבוה בהתבסס על התוכנה הזדונית שנמצאה שיוחסה בעבר ל-Tick, ולמיטב ידיעתנו לא שותפה עם קבוצות APT אחרות, ודמיון הקוד בין ShadowPy למטען שמשתמש Netboy .

בנוסף, דומיינים ששימשו את התוקפים כדי ליצור קשר עם שרתי C&C שלהם יוחסו בעבר ל-Tick במקרים קודמים: waterglue[.]org in 2015, ו softsrobot[.]com in 2020.

אולי פעילות קשורה

בחודש מאי 2022, חוקרי AhnLab פרסמו דו"ח על שחקן איום לא מזוהה המכוון לישויות ולאנשים מדרום קוריאה עם קבצי CHM הפורסים קובץ הפעלה לגיטימי ו-DLL זדוני לטעינה מהצד. מטרת ה-DLL היא לבטל את הדחיסה, לפענח, להוריד ולהפעיל סקריפט VBE ב- TEMP%% תיקייה. הסקריפט המפוענח חושף שוב דלת אחורית של ReVBShell.

אנו מאמינים שסביר להניח שמסע הפרסום יהיה קשור למתקפה המתוארת בדוח זה, שכן הדלת האחורית המותאמת אישית של ReVBShell של שתי ההתקפות זהה, ויש קווי דמיון מרובים בין מתקין ה-64 סיביות הזדוני (SHA-1: B9675D0EFBC4AE92E02B3BFC8CA04B01F8877DB6) והדגימה quartz.dll (SHA-1: ECC352A7AB3F97B942A6BDC4877D9AFCE19DFE55) מתואר על ידי AhnLab.

סיכום

חוקרי ESET חשפו פשרה של חברה למניעת אובדן נתונים במזרח אסיה. במהלך הפריצה, התוקפים פרסו לפחות שלוש משפחות תוכנות זדוניות, ופגעו בשרתי עדכונים וכלים ששימשו את החברה שנפגעה. כתוצאה מכך, שני לקוחות של החברה נפגעו לאחר מכן.

הניתוח שלנו של הכלים הזדוניים ששימשו במהלך המתקפה חשף תוכנות זדוניות שלא תועדו בעבר, שקראנו לה ShadowPy. בהתבסס על קווי דמיון בתוכנה הזדונית שנמצאה במהלך החקירה, ייחסנו את המתקפה בביטחון רב לקבוצת Tick APT, הידועה בפעולות ריגול הסייבר שלה המכוונות לאזור APAC.

ברצוננו להודות ל-Cha Minseok מ-AhnLab על שיתוף המידע והדגימות במהלך המחקר שלנו.

IoCs

קבצים

SHA-1	שם הקובץ	שם זיהוי ESET	תיאור
72BDDEAD9B508597B75C1EE8BE970A7CA8EB85DC	dwmapi.dll	Win32/Netboy.A	דלת אחורית של Netboy.
8BC1F41A4DDF5CFF599570ED6645B706881BEEED	vssapi.dll	Win64/ShadowPy.A	הורדת ShadowPy.
4300938A4FD4190A47EDD0D333E26C8FE2C7451E	N / A	Win64/TrojanDropper.Agent.FU	מתקין Q-dir בטרויאניות, גרסת 64 סיביות. משחרר את גרסה A של ReVBShell המותאמת אישית.
B9675D0EFBC4AE92E02B3BFC8CA04B01F8877DB6	N / A	Win64/TrojanDropper.Agent.FU	מתקין Q-dir בטרויאניות, גרסת 64 סיביות. משחרר את גרסה B של ReVBShell המותאמת אישית.
F54F91D143399B3C9E9F7ABF0C90D60B42BF25C9	N / A	Win32/TrojanDownloader.Agent.GBY	מתקין Q-dir בטרויאניות, גרסת 32 סיביות.
FE011D3BDF085B23E6723E8F84DD46BA63B2C700	N / A	VBS/Agent.DL	גרסה אחורית של ReVBShell מותאמת אישית.
02937E4A804F2944B065B843A31390FF958E2415	N / A	VBS/Agent.DL	גרסה B של דלת אחורית של ReVBShell מותאמת אישית.

רשת

IP	ספק	נראה לראשונה	פרטים
115.144.69[.]108	KINX	2021-04-14	travelasist[.]com שרת ShadowPY C&C
110.10.16[.]56	SK Broadband Co Ltd	2020-08-19	mssql.waterglue[.]org שרת Netboy C&C
103.127.124[.]117	MOACK.Co.LTD	2020-10-15	שרת יצירת קשר עם קובץ ההפעלה של העדכון הזדוני כדי לאחזר מפתח לפענוח.
103.127.124[.]119	MOACK.Co.LTD	2021-04-28	slientship[.]com ReVBShell גרסה אחורית של שרת A.
103.127.124[.]76	MOACK.Co.LTD	2020-06-26	שרת ReVBShell עם דלת אחורית בגרסה B.
58.230.118[.]78	SK Broadband Co Ltd	2022-01-25	oracle.eneygylakes[.]com שרת Ghostdown.
192.185.89[.]178	Network Solutions, LLC	2020-01-28	השרת יצר קשר עם מתקין ה-32-bit הזדוני כדי לאחזר מטען.

טכניקות MITER ATT & CK

שולחן זה נבנה באמצעות גרסה 12 של מסגרת MITER ATT & CK.

טקטיקה	ID	שם	תיאור
גישה ראשונית	T1195.002	פשרה על שרשרת האספקה: פשרה על שרשרת האספקה ​​של תוכנה	סמן שרתי עדכונים שנפגעו כדי לספק חבילות עדכונים זדוניות באמצעות התוכנה שפותחה על ידי החברה שנפרצה.
	T1199	מערכת יחסים מהימנה	Tick ​​החליף יישומים לגיטימיים המשמשים את התמיכה הטכנית כדי לסכן לקוחות של החברה.
הוצאה לפועל	T1059.005	מתורגמן פקודות וסקריפטים: Visual Basic	Tick ​​השתמש בגרסה מותאמת אישית של ReVBShell שנכתבה ב-VBScript.
	T1059.006	מתורגמן פקודות וסקריפטים: Python	תוכנת זדונית ShadowPy משתמשת בתוכנית הורדה שנכתבה ב-Python.
התמדה	T1547.001	הפעלה אוטומטית של אתחול או כניסה: מפתחות הפעלה של הרישום / תיקיית אתחול	מעמיסי Netboy ו-ShadowPy נמשכים באמצעות מקש Run.
	T1543.003	צור או שנה תהליך מערכת: שירות Windows	מטעני Netboy ו-ShadowPy ממשיכים ביצירת שירות.
	T1574.002	זרימת ביצוע חטיפה: טעינת DLL בצד	מטעני Netboy ו-ShadowPy משתמשים בשמות שירות ותיאור לגיטימיים בעת יצירת שירותים.
התחמקות הגנה	T1036.004	מסכות: משימה או שירות של מסיכות	מטעני Netboy ו-ShadowPy משתמשים בשמות שירות ותיאור לגיטימיים בעת יצירת שירותים.
	T1036.005	התחזות: התאם לשם או מיקום לגיטימיים	מטעני Netboy ו-ShadowPy משתמשים בשמות שירות ותיאור לגיטימיים בעת יצירת שירותים.
	T1027	קבצים או מידע מעורפלים	Netboy, ShadowPy והמטעין שלהם משתמשים במוצפן: עומסים, מחרוזות, תצורה. מעמיסים מכילים קוד אשפה.
	T1027.001	קבצים או מידע מעורפלים: ריפוד בינארי	קובצי ה-DLL של מטעני Netboy ו-ShadowPy מרופדים כדי למנוע מפתרונות אבטחה להעלות דוגמאות.
	T1055.002	הזרקת תהליך: הזרקת הפעלה ניידת	מעמיסים של Netboy ו-ShadowPy מחדירים PE לתהליך מערכת מוגדר מראש.
	T1055.003	הזרקת תהליך: חטיפת חוט ביצוע	מטעני Netboy ו-ShadowPy חוטפים את החוט המרכזי של תהליך המערכת כדי להעביר את הביצוע לתוכנה הזדונית שהוזרקה.
גילוי פערים	T1135	גילוי שיתוף ברשת	ל-Netboy יש יכולות גילוי רשת.
	T1120	גילוי מכשיר היקפי	Netboy מונה את כל הכוננים הזמינים.
	T1057	תהליך גילוי	ל-Netboy ול-ReVBShell יש יכולות ספירת תהליכים.
	T1082	גילוי מידע מערכת	Netboy ו-ReVBShell, אוספים מידע מערכת.
	T1033	גילוי בעל מערכת/משתמש	Netboy ו-ReVBShell, אוספים מידע על המשתמש.
	T1124	גילוי זמן מערכת	Netboy משתמש בזמן המערכת כדי ליצור קשר עם C&C שלה רק בטווח זמן מסוים.
תנועה צדדית	T1080	להכתים תוכן משותף	Tick ​​החליף יישומים לגיטימיים ששימשו את התמיכה הטכנית, מה שהביא גם לביצוע תוכנות זדוניות ברשת שנפרצה במערכות נקיות בעבר.
אוספים	T1039	נתונים מאחסון שיתופי ברשת	ל-Netboy ול-ReVBShell יש יכולות לאסוף קבצים.
	T1113	לכידת מסך	ל-Netboy יש יכולות צילום מסך.
פיקוד ובקרה	T1071.001	פרוטוקול שכבת האפליקציות: פרוטוקולי אינטרנט	ShadowPy ו-ReVBShell מתקשרים באמצעות פרוטוקול HTTP עם שרת C&C שלהם.
	T1132.001	קידוד נתונים: קידוד רגיל	ReVBShell המותאם אישית של Tick משתמש ב-base64 כדי לקודד תקשורת עם שרתי C&C שלהם.
	T1573	ערוץ מוצפן	Netboy משתמש ב-RC4. ShadowPy משתמש ב-AES.
exfiltration	T1041	סינון מעל ערוץ C2	ל-Netboy ול-ReVBShell יש יכולות סינון.
	T1567.002	Exfiltration Over Web Service: Exfiltration to Cloud Storage	Tick ​​פרסה כלי מותאם אישית כדי להוריד ולחלץ קבצים באמצעות שירות אינטרנט.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
• מקור: https://www.welivesecurity.com/2023/03/14/slow-ticking-time-bomb-tick-apt-group-dlp-software-developer-east-asia/