文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Carderbee 攻击: 香港实体成为恶意软件的新目标

2024-11-30 10:01

关注

赛门铁克安全人员知乎此次攻击活动利用一个名为 EsafeNet Cobra DocGuard Client 的合法软件的木马版本,在受害者网络上传播一个名为 PlugX(又名 Korplug)的已知后门,在与 The Hacker News 共享的一份报告中,安全人员还指出在攻击过程中,攻击者使用了带有合法微软证书签名的恶意软件。

ESET 在其今年发布的季度威胁报告中着重强调了使用 Cobra DocGuard 客户端实施供应链攻击的黑客活动,还详细描述了 2022 年 9 月香港一家未命名的博彩公司因该软件推送的恶意更新,遭到黑客入侵。

值得一提的是,尽管 Cobra DocGuard 客户端应用程序被安装在大约 2000 个端点上,但据说受 Cobra DocGuard 影响的组织中只有多达 100 台计算机受到了感染,这表明攻击的重点范围可能有所缩小了。

Syamtec 指出恶意软件被发送到受感染计算机上的以下位置:csidl_system_drive\program files\esafenet\Cobra DocGuard client\update’,表明涉及 Cobra DocGuard 的供应链攻击或恶意配置是攻击者破坏受影响计算机的方式。

在其中一个攻击实例中,上述描述的情况充当了部署下载器的渠道,该下载器具有来自微软的数字签名证书,随后被用于从远程服务器检索和安装 PlugX,这种模块化植入为攻击者在受感染平台上提供了一个秘密后门,使其可以继续安装其它有效载荷、执行命令、捕获击键、枚举文件和跟踪运行进程等。这些发现揭示了威胁攻击者继续使用微软签名的恶意软件进行攻击后活动并绕过安全保护。

尽管如此,关于 Carderbee 的许多细节仍未披露,目前还尚不清楚 Carderbee 的总部位于何处,它的最终目标是什么,以及它是否与 Lucky Mouse 有任何联系。

赛门铁克强调针对香港等地的攻击活动背后的攻击者是极具耐心且技术娴熟的网络攻击者,他们利用供应链攻击和签名恶意软件来开展活动,试图保持低调。此外,这些攻击者似乎只在少数获得访问权限的计算机上部署了有效载荷,这也表明幕后攻击者进行过一定程度的策划和侦察。

文章来源:https://thehackernews.com/2023/08/carderbee-attacks-hong-kong.html

来源:FreeBuf.COM内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯