Un grupo de amenazas previamente no documentado se ha vinculado a un ataque a la cadena de suministro de software dirigido a organizaciones ubicadas principalmente en Hong Kong y otras regiones de Asia.
El equipo Symantec Threat Hunter, parte de Broadcom, está rastreando la actividad bajo su nombre de insecto Carderbee.
Los ataques, según la empresa de ciberseguridad, aprovechan una versión troyanizada de un software legítimo llamado EsafeNet Cobra DocGuard Client para entregar una puerta trasera conocida llamada PlugX (también conocida como Korplug) en las redes de las víctimas.
«En el curso de este ataque, los atacantes utilizaron malware firmado con un certificado legítimo de Microsoft», afirma la empresa. dicho en un informe compartido con The Hacker News.
ESET destacó previamente el uso de Cobra DocGuard Client para llevar a cabo un ataque a la cadena de suministro en su informe. Informe trimestral de amenazas este año, detallando una intrusión en septiembre de 2022 en la que una empresa de juegos de azar anónima en Hong Kong se vio comprometida a través de una actualización maliciosa impulsada por el software.
Se dice que la misma empresa ya fue infectada antes, en septiembre de 2021, utilizando la misma técnica. El ataque, vinculado a un actor de amenazas chino llamado Lucky Mouse (también conocido como APT27, Budworm o Emissary Panda), finalmente condujo a la implementación de PlugX.
Sin embargo, la última campaña detectada por Symantec en abril de 2023 muestra pocos puntos en común que la vinculen de manera concluyente con el mismo actor. Además, el hecho de que PlugX sea utilizado por una variedad de grupos de hackers vinculados a China dificulta la atribución.
Se dice que hasta 100 computadoras en las organizaciones afectadas fueron infectadas, aunque la aplicación Cobra DocGuard Client se instaló en aproximadamente 2000 puntos finales, lo que sugiere un enfoque limitado.
«El software malicioso se entregó a la siguiente ubicación en las computadoras infectadas, lo que indica que un ataque a la cadena de suministro o una configuración maliciosa que involucra a Cobra DocGuard es la forma en que los atacantes comprometieron las computadoras afectadas: ‘csidl_system_driveprogram filesesafenetcobra docguard clientupdate ,'», dijo Syamtec.
En un caso, la infracción funcionó como un conducto para implementar un descargador con un certificado firmado digitalmente de Microsoft, que posteriormente se utilizó para recuperar e instalar PlugX desde un servidor remoto.
El implante modular brinda a los atacantes una puerta trasera secreta en las plataformas infectadas para que puedan instalar cargas útiles adicionales, ejecutar comandos, capturar pulsaciones de teclas, enumerar archivos y rastrear procesos en ejecución, entre otros.
Los hallazgos arrojan luz sobre el uso continuo de malware firmado por Microsoft por parte de actores de amenazas para realizar actividades posteriores a la explotación y eludir las protecciones de seguridad.
Dicho esto, no está claro dónde tiene su sede Carderbee o cuáles son sus objetivos finales, y si tiene alguna conexión con Lucky Mouse. Muchos otros detalles sobre el grupo siguen sin revelarse o se desconocen.
«Parece claro que los atacantes detrás de esta actividad son actores pacientes y hábiles», afirmó Symantec. «Aprovechan tanto un ataque a la cadena de suministro como malware firmado para llevar a cabo su actividad en un intento de pasar desapercibidos».
«El hecho de que parezcan desplegar sólo su carga útil en un puñado de ordenadores a los que obtienen acceso también indica una cierta cantidad de planificación y reconocimiento por parte de los atacantes detrás de esta actividad».