观察到一个之前未被识别的APT黑客组织名为“Carderbee”,该组织正在攻击香港和亚洲其他地区的组织,使用合法软件将PlugX恶意软件感染目标计算机。
据赛门铁克公司报道,供应链攻击中使用的合法软件是由中国开发者EsafeNet创建的Cobra DocGuard,用于数据加密/解密的安全应用程序。
Carderbee使用PlugX(一在中国国家支持的威胁组织中广泛共享的恶意软件系列),这表明这个新型组织很可能与中国的威胁生态系统有关联。
供应链攻击
赛门铁克公司的研究人员在2023年4月首次发现了Carderbee活动的迹象。然而,ESET在2022年9月的一份报告中指出,Cobra DocGuard的恶意更新被用作最初的妥协点,因此威胁行为可能可以追溯到2021年9月。
赛门铁克表示,他们发现Cobra DocGuard软件被安装在2000台计算机上,但只观察到100台计算机上的恶意活动,这表明威胁行为者只进一步妥协了高价值目标。
对于那些被针对的设备,Carderbee使用DocGuard软件更新程序来部署一系列恶意软件,包括PlugX。然而,目前还不清楚威胁行为者是如何利用合法的更新程序进行供应链攻击的。
更新以ZIP文件的形式从”cdn.streamamazon[.]com/update.zip”获取,然后解压缩以执行”content.dll”,它充当恶意软件下载器。
有趣的是,PlugX恶意软件的下载器使用了来自微软的证书进行数字签名,具体来说是微软Windows硬件兼容性发布商,这使得检测该恶意软件更具挑战性。
微软在2022年12月披露,黑客滥用微软的硬件开发者账户来签署恶意的Windows驱动程序和后渗透的rootkit。
Carderbee推送的恶意DLL还包含用于创建所需的Windows服务和注册表项的x64和x86驱动程序,以实现持久性。
最终,PlugX被注入到合法的“svchost.exe”(服务主机)Windows系统进程中,以逃避杀毒软件的检测。
Symantec在这些攻击中发现的PlugX样本具备以下功能:
- 通过CMD执行命令
- 文件枚举
- 检查正在运行的进程
- 文件下载
- 打开防火墙端口
- 键盘记录
Symantec表示,Carderbee的确切目标范围仍不清楚。虽然根据收集到的证据,与“Budworm”组织存在联系,但他们之间的关系程度仍不清楚。
利用供应链攻击和签名恶意软件使得这种新威胁非常隐蔽,而且恶意软件的选择性部署表明了高级准备和侦察工作。
本文转载自https://www.bleepingcomputer.com/news/security/carderbee-hacking-group-hits-hong-kong-orgs-in-supply-chain-attack/,本文观点不代表墨知立场。