Carderbee APT 通过供应链攻击针对香港组织

一个以前不为人知的 APT 组织（被追踪为 Carderbee）是针对香港组织的供应链攻击的幕后黑手。

赛门铁克威胁猎手团队报告称，一个先前未知的 APT 组织（被追踪为 Carderbee）使用合法 Cobra DocGuard 软件的恶意软件版本对香港的组织发起了供应链攻击。该组织试图使用 Korplug 后门（又名PlugX ）感染目标组织。

攻击者使用合法的 Microsoft 证书签署恶意软件。

Cobra DocGuard Client是中国EsafeNet公司生产的软件，用于保护、加密和解密软件。EsafeNet 隶属于中国信息安全公司绿盟科技 (NSFOCUS)。

2022 年 9 月，ESET 研究人员首次记录了Cobra DocGuard 客户端的恶意更新，该更新被用来危害香港的一家赌博公司。

这次攻击归因于与中国有关的 APT 组织 Lucky Mouse  （又名 Emissary Panda、APT27 和威胁组织 3390）。

在最近的攻击中，APT 组织感染了受影响组织中的 100 台计算机，但研究人员指出，Cobra DocGuard 客户端应用程序安装在大约 2,000 个端点上，这表明攻击者将重点放在高价值目标上。

目前，专家们尚未确定实施供应链攻击的确切攻击链。

“恶意软件被传送到受感染计算机上的以下位置，这表明攻击者是通过供应链攻击或涉及 Cobra DocGuard 的恶意配置来危害受影响的计算机的：

“csidl_system_drive\程序文件\esafenet\cobra docguard客户端\更新”

研究人员观察到攻击者通过这种方法下载多个不同的恶意软件系列。在一个有趣的案例中，威胁行为者部署了一个由 Microsoft 数字签名证书的下载程序，称为 Microsoft Windows Hardware Compatibility Publisher。该下载程序用于在受感染的系统上安装 Korplug 后门。 

“下载程序尝试从以下位置下载名为 update.zip 的文件：http://cdn.stream-amazon[.]com/update.zip。” 报告继续。“update.zip 文件是一个 zlib 压缩存档文件。它解压并执行名为 content.dll 的文件。该文件不保存在磁盘上。它充当释放程序，包含 x64 和 x86 驱动程序，这些驱动程序根据系统环境而被释放。Dropper 创建服务和注册表项。删除的驱动程序从注册表中读取加密数据，对其进行解密，然后将其注入到 svchost.exe 中。注入的有效负载是 Korplug 后门。“

攻击中使用的 Korplug 植入程序使攻击者能够通过 cmd 执行命令、枚举文件、检查正在运行的进程、下载文件、打开防火墙端口、充当键盘记录器。

“很明显，这次活动背后的攻击者是耐心且熟练的演员。他们利用供应链攻击和签名恶意软件来开展活动，试图隐藏在雷达之下。事实上，他们似乎只将有效负载部署在他们有权访问的少数计算机上，这也表明该活动背后的攻击者进行了一定程度的计划和侦察。” 报告总结道。“软件供应链攻击仍然是所有行业组织面临的主要问题，过去 12 个月内发生了多起备受瞩目的供应链攻击，包括 MOVEit、X_Trader 和 3CX 攻击。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7825.html