Prethodno nedokumentovani klaster hakera povezan je sa napadom na lanac nabavke softvera usmerenim na organizacije prvenstveno locirane u Hong Kongu i drugim regionima u Aziji.
Tim Symantec Threat Hunter, dio Broadcoma, prati aktivnost pod nadimkom na temu insekata Carderbee.
Napadi, prema firmi za kibernetičku sigurnost, koriste trojaniziranu verziju legitimnog softvera nazvanog EsafeNet Cobra DocGuard Client za isporuku poznatog backdoor-a poznatog kao PlugX (aka Korplug) na mrežama žrtava.
“Tokom ovog napada, hakeri su koristili malware potpisan legitimnim Microsoft certifikatom”, navodi se u izvještaju kompanije The Hacker News.
Korištenje Cobra DocGuard Client-a za izvođenje napada na lanac opskrbe ESET je ranije istaknuo u svom tromjesečnom izvještaju o aktivnostima APT-a ove godine, koji opisuje upad iz septembra 2022. godine u kojem je neimenovana kompanija za kockanje u Hong Kongu kompromitovana malilcioznim ažuriranjem koje je pokrenuo softver.
Navodi se da je kompanija bila zaražena i ranije u septembru 2021. koristeći istu tehniku. Napad, povezan sa kineskim hakerom po imenu Lucky Mouse (aka APT27, Budworm ili Emissary Panda), na kraju je doveo do postavljanja PlugX-a.
Uprkos ovim zajedničkim karakteristikama, posljednjoj kampanji koju je Symantec uočio u aprilu 2023. nedostaju uvjerljivi dokazi koji bi je povezali sa gore spomenutim hakerom. Nadalje, činjenica da PlugX dijele razne hakerske grupe povezane s Kinom otežava pripisivanje.
Navodi se da je čak 100 računara u pogođenim organizacijama zaraženo, iako je aplikacija Cobra DocGuard Client instalirana na otprilike 2.000 endpointa, što sugeriše fokus na ciljeve visoke vrijednosti. Tačan metod koji se koristi za izvođenje napada na lanac snabdijevanja nije poznat u ovoj fazi.
“Maliciozni softver je isporučen na sljedeću lokaciju na zaraženim računarima, što ukazuje da je napad na lanac nabavke ili maliciozna konfiguracija koja uključuje Cobra DocGuard način na koji su napadači kompromitovali zahvaćene računare: ‘csidl_system_drive\program files\esafenet\cobra docguard client\update “, rekao je Syamtec.
U jednom slučaju, proboj je funkcionisao kao kanal za implementaciju programa za preuzimanje s digitalno potpisanim certifikatom Microsofta, koji je kasnije korišten za preuzimanje i instaliranje PlugX-a sa udaljenog servera.
Modularni implant daje hakerima tajni backdoor na zaraženim platformama tako da mogu nastaviti s instaliranjem dodatnih payload-a, izvršavanjem komandi, hvatanjem pritisaka na tipke, nabrajanjem datoteka i praćenjem pokrenutih procesa, između ostalog.
Nalazi bacaju svjetlo na kontinuiranu upotrebu malicioznog softvera potpisanog od strane Microsofta koji hakeri koriste za provođenje aktivnosti nakon eksploatacije i zaobilaženje sigurnosnih zaštita.
Uzimajući to u obzir, nejasno je gdje je Carderbee smješten ili koji su mu krajnji ciljevi, te da li ima bilo kakve veze sa Lucky Mouseom. Mnogi drugi detalji o grupi ostaju neotkriveni ili nepoznati. Ali upotreba PlugX-a ukazuje na kinesku vezu.
“Čini se jasnim da su napadači koji stoje iza ove aktivnosti strpljivi i vješti hakeri”, rekao je Symantec. “Oni koriste i napad na lanac nabavke i potpisani malware kako bi izvršili svoju aktivnost u pokušaju da ostanu ispod radara.”
“Činjenica da izgleda da raspoređuju svoj teret samo na nekoliko računara kojima imaju pristup takođe ukazuje na određenu količinu planiranja i izviđanja u ime hakera koji stoje iza ove aktivnosti.”
Izvor: The Hacker News