Araştırmacılar, gelişmekte olan bir Çin destekli gelişmiş kalıcı tehdit (APT) grubunun, PlugX/Korplug arka kapısını dağıtmak için yasal bir yazılımdan yararlanan bir tedarik zinciri saldırısında Hong Kong’daki kuruluşları hedef aldığını buldu.
Symantec Tehdit Avcısı Ekibi bir blogda araştırmacıların Carderbee olarak adlandırdığı grubun, kurbanların ağlarına erişim elde etmek için Çinli EsafeNet firması tarafından üretilen koruma, şifreleme ve şifre çözme yazılımı olan Cobra DocGuard’ın tehlikeye atılmış bir sürümünü kullandığını açıkladı. yazı bugün yayınlandı.
Saldırı sırasında grup, yazılım satıcısı tarafından zaten bilinen bir güvenlik açığı olan Microsoft’un Windows Donanım Geliştirici Programı’nı kötüye kullanarak başka bir yasal varlık olan bir Microsoft sertifikasıyla imzalanan PlugX yükleyici kötü amaçlı yazılımını kullandı.
Brigid O’Gorman, “meşru bir sertifika gibi görünen bir sertifikayla imzalanan kötü amaçlı yazılımların güvenlik yazılımları tarafından tespit edilmesi çok daha zor olabileceğinden”, saldırının bir parçası olarak Microsoft Windows Donanım Uyumluluk Yayımcısı sertifikasının kullanılması, savunucular için işi daha da zorlaştırıyor. , Broadcom’un Symantec Tehdit Avcısı Ekibinde kıdemli istihbarat analisti.
Toplamda, araştırmacılar, etkilenen kuruluşlarda yaklaşık 100 bilgisayarda kötü amaçlı etkinlik gözlemledi, ancak Cobra DocGuard yazılımı yaklaşık 2.000 bilgisayara yüklendi. O’Gorman’a göre bu, APT’nin yükleri seçici olarak belirli kurbanlara itiyor olabileceğini gösteriyor – tedarik zinciri saldırılarında yaygın bir taktik.
“Tedarik zinciri saldırılarının doğası gereği, güvenliği ihlal edilmiş yazılım genellikle çok sayıda bilgisayara indirilir, ancak daha fazla kötü amaçlı etkinlik, güvenliği ihlal edilmiş makinelerin yalnızca küçük bir yüzdesinde görülebilir” diye açıklıyor.
Henüz Tespit Edilmemiş Tehdit Aktörü
Araştırmacılar, saldırının, tehdit aktörlerinin bir tedarik zinciri kampanyasında Cobra DocGuard’ı ilk kez kullanmadıklarını söyledi. PlugX ayrıca tanıdık bir kötü amaçlı yazılımdır; BlackFly ve MustangPanda da dahil olmak üzere Çinli tehdit aktörleri, bu yıl bir dizi saldırıda uzaktan erişim Truva Atı’nı (RAT) çoktan kullandı.
Son saldırılarda da saldırıdakine benzer bir Cobra DocGuard ve PlugX kombinasyonu kullanıldı. ESET’e göre Eylül ayında Budworm’a (diğer adıyla LuckyMouse, APT27) atfedilen tehdit etkinliği, Hong Kong’daki bir kumar şirketini tehlikeye atmak için Cobra DocGuard’a yönelik kötü amaçlı bir güncelleme kullandı ve ardından yeni bir Korplug/PlugX varyantını devreye aldı.
Gerçekten de, Carderbee, Çin tarafından desteklenen diğer bilinen düşmanlarla benzerlikler paylaşsa da, O’Gorman, “bu bağlantılar, bu faaliyeti bilinen bir grupla kesin olarak ilişkilendirecek kadar güçlü değildi” diyor.
“Çin dışında faaliyet gösteren tehdit aktörleri arasında TTP’lerin ve altyapının geçişi alışılmadık bir durum değil, bu da saldırıların atfedilmesini zorlaştırabilir” diyor. “Korplug, yalnızca Budworm değil, aynı zamanda APT41 ve diğerleri tarafından birden fazla APT tarafından kullanıldığı bilinen bir arka kapıdır.”
Araştırmacılar ayrıca saldırının nedeninden emin değiller, ancak PlugX/Korplug tipik olarak Çinli tehdit aktörlerine özgü olan siber casusluk saldırılarında kullanılıyor. O’Gorman, “Ancak, şu anda sahip olduğumuz bilgilerle, finansal gibi diğer olası motivasyonları göz ardı edemedik” diye ekliyor.
Saldırı Zinciri
Saldırı, araştırmacıların Cobra DocGuard’ın kötü amaçlı bir sürümünün kurban kuruluşlardaki virüslü bilgisayarlarda şu konuma teslim edildiğini gözlemlediği birkaç ay içinde gerçekleşti: “csidl_system_drive\program files\esafenet\cobra docguard client\update.” Kurbanların çoğu Hong Kong’da yaşarken, geri kalanı Asya’ya dağılmıştı.
Saldırganlar, Microsoft’tan dijital olarak imzalanmış bir sertifikaya sahip PlugX/Korplug için indirici de dahil olmak üzere, bu yöntemle çok sayıda farklı kötü amaçlı yazılım ailesi teslim etti.
Saldırıda gözlemlenen arka kapı örneğinin çeşitli işlevleri vardı; komutları cmd aracılığıyla yürütebilir, dosyaları sıralayabilir, çalışan işlemleri kontrol edebilir, dosyaları indirebilir, güvenlik duvarı bağlantı noktalarını açabilir ve bir keylogger olarak işlev görebilir.
Ayrıca, araştırmacılar Cobra DocGuard’ın ele geçirilmiş bir versiyonunun saldırganlar tarafından kurbanların ağlarına erişim sağlamak için kullanıldığını bilseler de, “saldırganların Cobra DocGuard istemcisine bu şekilde kullanmak için nasıl eriştiklerini” bilmiyorlar. ” O’Gorman kabul ediyor.
Tedarik Zincirini Savunmak
O’Gorman, genel olarak yazılım tedarik zinciri saldırılarının, son 12 ayda meydana gelen birkaç yüksek profilli saldırı ile tüm sektörlerdeki kuruluşlar için önemli bir sorun olmaya devam ettiğini söylüyor. Bunlardan biri, çok sayıda müşteri ortamını etkileyen ve hatta şirkete karşı çok sayıda toplu davaya yol açan Progress Software’in bir uygulamasındaki bir kusurdan yararlanan Cl0p fidye yazılımı çetesi MOVEit saldırısıdır.
O’Gorman, “Yazılım tedarik zinciri saldırıları, saldırganlar için bir nimettir, çünkü kuruluşun güvenilir ortaklarından birinin yazılımını ele geçirebilirlerse, iyi korunan kuruluşlara bile sızmalarına izin verebilirler,” diyor.
Tedarik zincirini savunmak için kuruluşlar, istenmeyen kalıpları belirlemeye yardımcı olmak ve herhangi bir zarar verilmeden önce şüpheli bir uygulamayı engellemelerine izin vermek için bir sistemdeki tüm faaliyetlerin davranışını izlemeli, diyor.
O’Gorman, “Kötü niyetli bir güncellemenin davranışı genellikle beklenen temiz yazılımdan farklı olacağından bu mümkündür,” diyor.
Kuruluşlar ayrıca, bir makineye indirilen kötü amaçlı bir güncellemenin tüm ağa yayılmasını önleyebilen sıfır güven ilkeleri ve ağ bölümlendirme uygulayarak genel saldırı yüzeyini azaltabilir, diyor.
O’Gorman, yazılım geliştiricileri ve sağlayıcılarının yazılım güncelleme sürecinde ve web sitelerinde istenmeyen değişiklikleri tespit edebilmelerini sağlayarak tedarik zincirini güvence altına alma sorumluluğunu da almaları gerektiğini ekliyor.