‘Canderbee’ adlı daha önce tanımlanamayan bir APT bilgisayar korsanlığı grubunun, hedeflerin bilgisayarlarına PlugX kötü amaçlı yazılımını bulaştırmak için meşru yazılımlar kullanarak Hong Kong ve Asya’nın diğer bölgelerindeki kuruluşlara saldırdığı gözlemlendi.
Symantec, tedarik zinciri saldırısında kullanılan meşru yazılımın, Çinli geliştirici ‘EsafeNet’ tarafından oluşturulan ve veri şifreleme/şifre çözme için güvenlik uygulamalarında kullanılan Cobra DocGuard olduğunu bildirdi.
Carderbee’nin Çin devlet destekli tehdit grupları arasında yaygın olarak paylaşılan bir kötü amaçlı yazılım ailesi olan PlugX’i kullanması, bu yeni grubun muhtemelen Çin tehdit ekosistemiyle bağlantılı olduğunu gösteriyor.
Tedarik zinciri saldırısı
Symantec’in araştırmacıları, Carderbee etkinliğinin ilk işaretlerini Nisan 2023’te tespit ettiler. Ancak, Eylül 2022 tarihli bir ESET raporu, Cobra DocGuard’daki kötü amaçlı bir güncellemenin ilk uzlaşma noktası olarak kullanıldığını vurguluyor, bu nedenle tehdit aktörünün etkinliği Eylül 2021’e kadar uzanabilir.
Symantec, Cobra DocGuard yazılımının 2.000 bilgisayarda kurulu olduğunu gördüklerini, ancak yalnızca 100 bilgisayarda kötü amaçlı etkinlik gözlemlediklerini, bunun da tehdit aktörlerinin yalnızca yüksek değerli hedefleri tehlikeye attığını gösterdiğini söyledi.
Hedeflenen bu cihazlar için, Carderbee, PlugX de dahil olmak üzere bir dizi kötü amaçlı yazılım türünü dağıtmak için DocGuard yazılım güncelleyicisini kullandı. Ancak, tehdit aktörlerinin meşru güncelleyiciyi kullanarak tedarik zinciri saldırısını nasıl gerçekleştirebildikleri belirsizliğini koruyor.
Güncellemeler, “cdn.streamamazon”dan getirilen bir ZIP dosyası biçiminde gelir.[.]Kötü amaçlı yazılım indirici görevi gören “content.dll” dosyasını çalıştırmak için sıkıştırılmış com/update.zip”.
İlginç bir şekilde, PlugX kötü amaçlı yazılımının indiricisi, Microsoft’tan, özellikle Microsoft Windows Donanım Uyumluluğu Yayımcısı’ndan alınan bir sertifika kullanılarak dijital olarak imzalanmıştır ve bu da kötü amaçlı yazılımın tespit edilmesini daha zor hale getirir.
Microsoft, Aralık 2022’de bilgisayar korsanlarının Microsoft donanım geliştirici hesaplarını kötü amaçlı Windows sürücülerini ve uzlaşma sonrası rootkit’leri imzalamak için kötüye kullandığını açıkladı.
Carderbee tarafından gönderilen kötü amaçlı DLL, kalıcılık için gereken Windows hizmetlerini ve kayıt defteri girdilerini oluşturmak için kullanılan x64 ve x86 sürücülerini de içerir.
Sonunda PlugX, AV tespitinden kaçınmak için meşru ‘svchost.exe’ (Hizmet Ana Bilgisayarı) Windows sistem işlemine enjekte edilir.
Symantec tarafından bu saldırılarda görülen PlugX örneği aşağıdaki yeteneklere sahiptir:
- CMD aracılığıyla komut yürütme
- dosya numaralandırma
- Çalışan işlemleri kontrol etme
- dosya indirme
- Güvenlik duvarı bağlantı noktaları açılıyor
- Keylogging
Symantec, Carderbee’nin kesin hedefleme kapsamının belirsizliğini koruduğunu söylüyor. ‘Budworm’ grubuyla bağlantılar muhtemelen toplanan kanıtlara dayansa da, ilişkilerinin kapsamı belirsizliğini koruyor.
Tedarik zinciri saldırısı ve imzalı kötü amaçlı yazılımın kullanılması, bu yeni tehdidi çok gizli hale getirir ve kötü amaçlı yazılımın seçici olarak konuşlandırılması, üst düzey hazırlık ve keşif anlamına gelir.