Carderbee黑客组织在供应链攻击中打击香港机构

Carderbee黑客组织在供应链攻击中打击香港机构

观察到一个之前未被识别的APT黑客组织名为“Carderbee”,该组织正在攻击香港和亚洲其他地区的组织,使用合法软件将PlugX恶意软件感染目标计算机。

据赛门铁克公司报道,供应链攻击中使用的合法软件是由中国开发者EsafeNet创建的Cobra DocGuard,用于数据加密/解密的安全应用程序。

Carderbee使用PlugX(一在中国国家支持的威胁组织中广泛共享的恶意软件系列),这表明这个新型组织很可能与中国的威胁生态系统有关联。

供应链攻击

赛门铁克公司的研究人员在2023年4月首次发现了Carderbee活动的迹象。然而,ESET在2022年9月的一份报告中指出,Cobra DocGuard的恶意更新被用作最初的妥协点,因此威胁行为可能可以追溯到2021年9月。

赛门铁克表示,他们发现Cobra DocGuard软件被安装在2000台计算机上,但只观察到100台计算机上的恶意活动,这表明威胁行为者只进一步妥协了高价值目标。

对于那些被针对的设备,Carderbee使用DocGuard软件更新程序来部署一系列恶意软件,包括PlugX。然而,目前还不清楚威胁行为者是如何利用合法的更新程序进行供应链攻击的。

更新以ZIP文件的形式从”cdn.streamamazon[.]com/update.zip”获取,然后解压缩以执行”content.dll”,它充当恶意软件下载器。

有趣的是,PlugX恶意软件的下载器使用了来自微软的证书进行数字签名,具体来说是微软Windows硬件兼容性发布商,这使得检测该恶意软件更具挑战性。

微软在2022年12月披露,黑客滥用微软的硬件开发者账户来签署恶意的Windows驱动程序和后渗透的rootkit。

Carderbee推送的恶意DLL还包含用于创建所需的Windows服务和注册表项的x64和x86驱动程序,以实现持久性。

最终,PlugX被注入到合法的“svchost.exe”(服务主机)Windows系统进程中,以逃避杀毒软件的检测。

Symantec在这些攻击中发现的PlugX样本具备以下功能:

  • 通过CMD执行命令
  • 文件枚举
  • 检查正在运行的进程
  • 文件下载
  • 打开防火墙端口
  • 键盘记录

Symantec表示,Carderbee的确切目标范围仍不清楚。虽然根据收集到的证据,与“Budworm”组织存在联系,但他们之间的关系程度仍不清楚。

利用供应链攻击和签名恶意软件使得这种新威胁非常隐蔽,而且恶意软件的选择性部署表明了高级准备和侦察工作。

本文转载自https://www.bleepingcomputer.com/news/security/carderbee-hacking-group-hits-hong-kong-orgs-in-supply-chain-attack/,本文观点不代表墨知立场。

(0)
上一篇 2023年8月18日 下午3:44
下一篇 2023年8月24日 上午10:27

相关推荐

  • curl&libcurl高危漏洞CVE-2023-38545即将公开,如何应对?

    背景 Curl是从1998年开始开发的开源网络请求命令行工具,其中包含的libcurl也被作为组件广泛用于应用的HTTP请求。 10月4日,curl项目的作者bagder(Daniel Stenberg)在GitHub中预告将于10月11日发布 8.4.0 版本,并公开两个漏洞:CVE-2023-38545和CVE-2023-38546。其中 CVE-202…

    2023年10月10日
    0
  • OWASP揭示软件供应链安全存在严重漏洞

    SBOM(软件构建物料清单)还不足够:开发人员需要通过使用二进制源验证的过程深入了解软件的构建方式。 美国黑帽 – 拉斯维加斯 – 8月9日星期三,开源OWASP的依赖检查项目的创始人和负责人提出了一种解决软件供应链安全问题的方法,使用了一种名为二进制源验证的新颖过程。 长期从事软件开发的ServiceNow首席工程师和OWASP专家…

    2023年8月10日
    0
  • Mandiant公司称黑客组织利用巴拉克达零日漏洞,针对政府、军事和电信领域进行攻击

    Thehackernews 发文称一名涉嫌与中国有关的黑客组织利用最近披露的巴拉克达网络电子邮件安全网关(ESG)设备的零日漏洞,作为一项全球间谍活动的一部分,入侵了政府、军事、国防和航空航天、高科技行业以及电信领域。 追踪该活动的Mandiant公司将威胁行为称为“UNC4841”,并描述该威胁行为者“对防御措施高度敏感”,并能够主动调整其作案方式以保持对…

    2023年8月31日
    0
  • Rhysida 勒索软件近期袭击了多家医疗机构

    Rhysida 勒索软件活动由于连续攻击医疗机构而引起了关注,导致政府机构和网络安全公司加强了对其操作的关注。美国卫生与公众服务部(HHS)、CheckPoint、Cisco Talos和Trend Micro均发布了有关Rhysida的报告,聚焦于威胁行为者操作的不同方面。之前在6月,Rhysida因从智利军队窃取的文件泄露而首次引起关注。初始分析显示其加…

    2023年8月11日
    0
  • 黑客利用Salesforce 0day漏洞在Facebook进行网络钓鱼攻击

    黑客利用了Salesforce电子邮件服务和SMTP服务器中的一个 0day 漏洞,发起了一场针对高价值Facebook账户的精密钓鱼攻击。 攻击者利用一个被称为“PhishForce”的漏洞,绕过了Salesforce的发件人验证保护措施,以及Facebook网络游戏平台中的一些特殊性,大量发送钓鱼邮件。 使用像Salesforce这样有信誉的电子邮件网关…

    2023年8月10日
    0