Hackersgroep Bronze Butler onderzocht door SecureWorks

SecureWorks Incident Responders en zijn Counter Threat Unit (CTU) hebben activiteiten onderzocht die geassocieerde worden met de hackersgroep Bronze Butler, ook wel bekend als Tick. De activiteiten van Bronze Butler, die waarschijnlijk afkomstig is uit China, wijzen op langdurig exfiltreren van intellectuele eigendom en andere vertrouwelijke gegevens uit Japanse organisaties. De hacks die zijn waargenomen wijzen op een focus op netwerken die betrokken zijn bij infrastructuur, zware industrie, productie en internationale betrekkingen.

SecureWorks CTU-onderzoekers hebben twee soorten activiteiten geïdentificeerd: strategische en tactische. Ledinggevenden kunnen de strategische beoordeling in het rapport gebruiken om te bepalen hoe het risico voor de organisatie en haar kritische activa kan worden verminderd. De IT-afdeling kan gebruik maken van de tactische informatie die wordt verzameld uit incidentresponsonderzoeken om de tijd en moeite te verminderen die nodig zijn om op de activiteiten van Bronze Butler te reageren.

Belangrijkste punten van het rapport:
Waarschijnlijk is BRONZE BUTLER in de People’s Republic of China (PRC) gevestigd.
De groep heeft spearphishing, strategische webcompromissen (SWC’s) gebruikt, en een exploitatie van een zero-day kwetsbaarheid.

Nadat de groep data uit een netwerk heeft gestolen, verwijdert BRONZE BUTLER het bewijs van zijn activiteiten. De groep behoudt echter, waar mogelijk, toegang tot gecompromitteerde omgevingen: regelmatig worden de sites opnieuw bezocht om nieuwe mogelijkheden voor data-diefstal te identificeren.

De hackersgroep heeft schijnbaar de mogelijkheid om hun eigen malware-tools te ontwikkelen en te implementeren. De (C2) -protocollen van de groep zijn versleuteld, wat uitdagingen voor netwerkverdedigers en incidentresponsen met zich meebrengt.