中国APT组织Tick的最新活动

文章重点

• 中国APT组织Tick（也称为Stalker Panda等）渗透了东亚一个数据丢失预防公司的内部更新伺服器，目标为其政府和军事客户。
• 随后，Tick在该公司网络内部署了Q-Dir应用的恶意安装程式，以散布ReVBShell和Netboy后门，以及ShadowPy和Ghostdown下载器。
• 攻击者还利用DLL搜索顺序劫持技术来维持持久访问。

根据的报导，中国的高级持续威胁（APT）组织Tick，亦被称作Stalker Panda、BronzeButler、StalkerTaurus和REDBALDKNIGHT，已成功渗透进入东亚一家专注于数据丢失预防（DLP）的公司的内部更新伺服器，其主要目标为该公司的政府和军事客户。据ESET的报告透露，Tick在获得该DLP公司网络的访问权限后，随即部署了一个Q-
Dir应用的恶意安装程式，以促进ReVBShell和Netboy后门的散布，以及ShadowPy和Ghostdown下载器。

研究人员Facundo
Muoz表示：“为了保持持久的访问权，攻击者部署了恶意的加载DLL，并配合合法签署的应用程式，这些应用程式存在DLL搜索顺序劫持的漏洞。这些DLL的目的在于解码并注入有效负载到指定的进程中。”

此外，Tick在2022年2月和6月的攻击中，使用ANYSUPPORT和helpU远程支持工具，将这些恶意安装程式转移至DLP公司的两个客户端。

攻击组织 | 目标 | 技术手段
—|—|—
Tick | 政府和军事客户 | 恶意安装程式、DLL劫持

此事件再次提醒企业注意网络安全，并加强对潜在威胁的防范措施，尤其是在涉及敏感信息的企业环境中。