赛门铁克安全人员知乎此次攻击活动利用一个名为 EsafeNet Cobra DocGuard Client 的合法软件的木马版本,在受害者网络上传播一个名为 PlugX(又名 Korplug)的已知后门,在与 The Hacker News 共享的一份报告中,安全人员还指出在攻击过程中,攻击者使用了带有合法微软证书签名的恶意软件。
ESET 在其今年发布的季度威胁报告中着重强调了使用 Cobra DocGuard 客户端实施供应链攻击的黑客活动,还详细描述了 2022 年 9 月香港一家未命名的博彩公司因该软件推送的恶意更新,遭到黑客入侵。
值得一提的是,尽管 Cobra DocGuard 客户端应用程序被安装在大约 2000 个端点上,但据说受 Cobra DocGuard 影响的组织中只有多达 100 台计算机受到了感染,这表明攻击的重点范围可能有所缩小了。
Syamtec 指出恶意软件被发送到受感染计算机上的以下位置:csidl_system_drive\program files\esafenet\Cobra DocGuard client\update’,表明涉及 Cobra DocGuard 的供应链攻击或恶意配置是攻击者破坏受影响计算机的方式。
在其中一个攻击实例中,上述描述的情况充当了部署下载器的渠道,该下载器具有来自微软的数字签名证书,随后被用于从远程服务器检索和安装 PlugX,这种模块化植入为攻击者在受感染平台上提供了一个秘密后门,使其可以继续安装其它有效载荷、执行命令、捕获击键、枚举文件和跟踪运行进程等。这些发现揭示了威胁攻击者继续使用微软签名的恶意软件进行攻击后活动并绕过安全保护。
尽管如此,关于 Carderbee 的许多细节仍未披露,目前还尚不清楚 Carderbee 的总部位于何处,它的最终目标是什么,以及它是否与 Lucky Mouse 有任何联系。
赛门铁克强调针对香港等地的攻击活动背后的攻击者是极具耐心且技术娴熟的网络攻击者,他们利用供应链攻击和签名恶意软件来开展活动,试图保持低调。此外,这些攻击者似乎只在少数获得访问权限的计算机上部署了有效载荷,这也表明幕后攻击者进行过一定程度的策划和侦察。
文章来源:https://thehackernews.com/2023/08/carderbee-attacks-hong-kong.html