Un groupe de menaces jusqu’alors non documenté a été lié à une attaque de la chaîne d’approvisionnement logicielle ciblant des organisations situées principalement à Hong Kong et dans d’autres régions d’Asie.
L’équipe Symantec Threat Hunter, qui fait partie de Broadcom, suit l’activité sous son surnom de Carderbee, sur le thème des insectes.
Les attaques, selon la société de cybersécurité, exploitent une version trojanisée d’un logiciel légitime appelé EsafeNet Cobra DocGuard Client pour fournir une porte dérobée connue appelée PlugX (alias Korplug) sur les réseaux des victimes.
« Au cours de cette attaque, les attaquants ont utilisé des logiciels malveillants signés avec un certificat Microsoft légitime », explique la société. dit dans un rapport partagé avec The Hacker News.
L’utilisation de Cobra DocGuard Client pour mener une attaque contre la chaîne d’approvisionnement a déjà été soulignée par ESET dans son rapport. Rapport trimestriel sur les menaces cette année, détaillant une intrusion de septembre 2022 au cours de laquelle une société de jeu anonyme à Hong Kong a été compromise via une mise à jour malveillante poussée par le logiciel.
La même entreprise aurait déjà été infectée en septembre 2021 en utilisant la même technique. L’attaque, liée à un acteur menaçant chinois nommé Lucky Mouse (alias APT27, Budworm ou Emissary Panda), a finalement conduit au déploiement de PlugX.
Cependant, la dernière campagne repérée par Symantec en avril 2023 présente peu de points communs pour la lier définitivement au même acteur. De plus, le fait que PlugX soit utilisé par divers groupes de hackers liés à la Chine rend l’attribution difficile.
Jusqu’à 100 ordinateurs dans les organisations touchées auraient été infectés, bien que l’application Cobra DocGuard Client ait été installée sur environ 2 000 points finaux, ce qui suggère une cible restreinte.
« Le logiciel malveillant a été distribué à l’emplacement suivant sur les ordinateurs infectés, ce qui indique qu’une attaque de la chaîne d’approvisionnement ou une configuration malveillante impliquant Cobra DocGuard est la façon dont les attaquants ont compromis les ordinateurs affectés : ‘csidl_system_driveprogram filesesafenetcobra docguard clientupdate « , a déclaré Syamtec.
Dans un cas, la violation a servi de canal pour déployer un téléchargeur avec un certificat signé numériquement de Microsoft, qui a ensuite été utilisé pour récupérer et installer PlugX à partir d’un serveur distant.
L’implant modulaire offre aux attaquants une porte dérobée secrète sur les plates-formes infectées afin qu’ils puissent installer des charges utiles supplémentaires, exécuter des commandes, capturer des frappes, énumérer des fichiers et suivre les processus en cours, entre autres.
Les résultats mettent en lumière l’utilisation continue de logiciels malveillants signés par Microsoft par les acteurs malveillants pour mener des activités post-exploitation et contourner les protections de sécurité.
Cela dit, on ne sait pas où est basé Carderbee ni quels sont ses objectifs ultimes, ni s’il a des liens avec Lucky Mouse. De nombreux autres détails sur le groupe restent confidentiels ou inconnus.
« Il semble clair que les attaquants derrière cette activité sont des acteurs patients et compétents », a déclaré Symantec. « Ils exploitent à la fois une attaque contre la chaîne d’approvisionnement et des logiciels malveillants signés pour mener à bien leur activité et tenter de rester sous le radar. »
« Le fait qu’ils semblent déployer leur charge utile uniquement sur une poignée d’ordinateurs auxquels ils ont accès indique également un certain niveau de planification et de reconnaissance de la part des attaquants derrière cette activité. »