Daha önce belgelenmemiş bir tehdit kümesinin, öncelikle Hong Kong’da ve Asya’nın diğer bölgelerinde bulunan kuruluşları hedef alan bir yazılım tedarik zinciri saldırısıyla bağlantılı olduğu ortaya çıktı.
Broadcom’un bir parçası olan Symantec Tehdit Avcısı Ekibi, etkinliği böcek temalı Carderbee adı altında izliyor.
Siber güvenlik firmasına göre saldırılar, kurban ağlarına PlugX (diğer adıyla Korplug) adı verilen bilinen bir arka kapı sunmak için EsafeNet Cobra DocGuard Client adlı meşru bir yazılımın truva atı haline getirilmiş bir sürümünü kullanıyor.
Şirket, “Bu saldırı sırasında saldırganlar meşru bir Microsoft sertifikasıyla imzalanmış kötü amaçlı yazılım kullandı” dedi. söz konusu The Hacker News ile paylaşılan bir raporda.
Tedarik zinciri saldırısını gerçekleştirmek için Cobra DocGuard İstemcisinin kullanılması daha önce ESET tarafından vurgulanmıştı. üç aylık Tehdit Raporu Bu yıl, Eylül 2022’de Hong Kong’daki isimsiz bir kumar şirketinin yazılım tarafından gönderilen kötü amaçlı bir güncelleme yoluyla tehlikeye atıldığı bir izinsiz girişin ayrıntılarını veriyor.
Aynı şirketin daha önce de Eylül 2021’de aynı teknik kullanılarak virüse yakalandığı söyleniyor. Lucky Mouse (diğer adıyla APT27, Budworm veya Emissary Panda) adlı Çinli bir tehdit aktörüyle bağlantılı olan saldırı, sonuçta PlugX’in konuşlandırılmasına yol açtı.
Ancak Symantec’in Nisan 2023’te tespit ettiği son kampanya, onu kesin olarak aynı aktöre bağlayacak çok az benzerlik gösteriyor. Dahası, PlugX’in Çin bağlantılı çeşitli bilgisayar korsanlığı grupları tarafından kullanılması, bu atıfları zorlaştırıyor.
Etkilenen kuruluşlardaki 100 kadar bilgisayarın virüsten etkilendiği söyleniyor, ancak Cobra DocGuard İstemci uygulaması yaklaşık 2.000 uç noktaya kurulmuş, bu da odaklanmanın daraltıldığını gösteriyor.
“Kötü amaçlı yazılım, virüs bulaşmış bilgisayarlarda aşağıdaki konuma dağıtıldı; bu, Cobra DocGuard’ı içeren bir tedarik zinciri saldırısı veya kötü amaçlı yapılandırmanın, saldırganların etkilenen bilgisayarların güvenliğini nasıl aştığını gösteriyor: ‘csidl_system_driveprogram filesesafenetcobra docguard clientupdate’ ” dedi Syamtec.
Bir örnekte ihlal, Microsoft’tan dijital olarak imzalanmış bir sertifikaya sahip bir indiriciyi dağıtmak için bir kanal görevi gördü ve bu daha sonra uzak bir sunucudan PlugX’i almak ve yüklemek için kullanıldı.
Modüler implant, saldırganlara virüslü platformlarda gizli bir arka kapı sağlıyor; böylece saldırganlar ek yükler yükleyebilir, komutları yürütebilir, tuş vuruşlarını yakalayabilir, dosyaları numaralandırabilir ve çalışan süreçleri takip edebilirler.
Bulgular, Microsoft imzalı kötü amaçlı yazılımların tehdit aktörleri tarafından istismar sonrası faaliyetleri yürütmek ve güvenlik korumalarını atlatmak için sürekli olarak kullanıldığına ışık tutuyor.
Bununla birlikte Carderbee’nin nerede bulunduğu, nihai hedeflerinin ne olduğu ve Lucky Mouse ile herhangi bir bağlantısı olup olmadığı belli değil. Grupla ilgili diğer birçok ayrıntı açıklanmadı veya bilinmiyor.
Symantec, “Bu faaliyetin arkasındaki saldırganların sabırlı ve yetenekli aktörler olduğu açık görünüyor” dedi. “Radarın altında kalmak amacıyla faaliyetlerini gerçekleştirmek için hem tedarik zinciri saldırılarından hem de imzalı kötü amaçlı yazılımlardan yararlanıyorlar.”
“Yüklerini yalnızca erişim elde ettikleri bir avuç bilgisayara dağıtıyor gibi görünmeleri, bu aktivitenin arkasındaki saldırganlar adına belirli bir planlama ve keşif yapıldığına da işaret ediyor.”