Daha önce belgelenmemiş bir tehdit kümesi, öncelikle Hong Kong’da ve Asya’nın diğer bölgelerinde bulunan kuruluşları hedef alan bir yazılım tedarik zinciri saldırısıyla ilişkilendirildi.
Broadcom’un bir parçası olan Symantec Tehdit Avcısı Ekibi, etkinliği böcek temalı takma adı Carderbee altında izliyor.
Siber güvenlik firmasına göre saldırılar, kurban ağlarında PlugX (aka Korplug) adlı bilinen bir arka kapı sağlamak için EsafeNet Cobra DocGuard Client adlı yasal bir yazılımın truva atı haline getirilmiş bir sürümünden yararlanıyor.
Şirket, The Hacker News ile paylaştığı bir raporda, “Bu saldırı sırasında, saldırganlar meşru bir Microsoft sertifikasıyla imzalanmış kötü amaçlı yazılım kullandı” dedi.
Bir tedarik zinciri saldırısını gerçekleştirmek için Cobra DocGuard İstemcisinin kullanılması, daha önce ESET tarafından bu yıl üç aylık Tehdit Raporunda vurgulanmış ve Eylül 2022’de Hong Kong’daki adı açıklanmayan bir kumar şirketinin yazılım tarafından gönderilen kötü amaçlı bir güncelleme yoluyla ele geçirildiği bir izinsiz girişi ayrıntılarıyla açıklamıştı. .
Aynı şirkete daha önce de Eylül 2021’de aynı teknik kullanılarak virüs bulaştığı söyleniyor. Lucky Mouse (diğer adıyla APT27, Budworm veya Emissary Panda) adlı Çinli bir tehdit aktörüyle bağlantılı olan saldırı, sonunda PlugX’in konuşlandırılmasına yol açtı.
Bununla birlikte, Nisan 2023’te Symantec tarafından tespit edilen son kampanya, onu kesin olarak aynı aktöre bağlamak için çok az ortak nokta sergiliyor. Ayrıca, PlugX’in Çin bağlantılı çeşitli bilgisayar korsanlığı grupları tarafından kullanılması, atıf yapmayı zorlaştırıyor.
Etkilenen kuruluşlardaki 100 kadar bilgisayara virüs bulaştığı söyleniyor, ancak Cobra DocGuard Client uygulaması yaklaşık 2.000 uç noktaya yüklendi ve bu da odak noktasının daraltıldığını gösteriyor.
“Kötü amaçlı yazılım, virüslü bilgisayarlarda aşağıdaki konuma teslim edildi; bu, Cobra DocGuard’ı içeren bir tedarik zinciri saldırısının veya kötü amaçlı yapılandırmanın, saldırganların etkilenen bilgisayarları nasıl ele geçirdiğini gösterir: ‘csidl_system_drive\program files\esafenet\cobra docguard client\update ,'” dedi Syamtec.
Bir örnekte ihlal, daha sonra PlugX’i uzak bir sunucudan almak ve yüklemek için kullanılan Microsoft’tan dijital olarak imzalanmış bir sertifikaya sahip bir indiriciyi dağıtmak için bir kanal işlevi gördü.
Modüler implant, saldırganlara virüslü platformlarda gizli bir arka kapı sağlar, böylece diğerleri arasında ek yükler yüklemeye, komutları yürütmeye, tuş vuruşlarını yakalamaya, dosyaları numaralandırmaya ve çalışan işlemleri takip etmeye devam edebilirler.
Bulgular, tehdit aktörleri tarafından istismar sonrası faaliyetleri yürütmek ve güvenlik korumalarını atlamak için Microsoft imzalı kötü amaçlı yazılımların devam eden kullanımına ışık tutuyor.
Bununla birlikte, Carderbee’nin nerede olduğu veya nihai hedeflerinin ne olduğu ve Lucky Mouse ile herhangi bir bağlantısı olup olmadığı net değil. Grupla ilgili diğer birçok ayrıntı açıklanmadı veya bilinmiyor.
Symantec, “Bu faaliyetin arkasındaki saldırganların sabırlı ve yetenekli aktörler olduğu açık görünüyor.” Dedi. “Radarın altında kalma çabasıyla faaliyetlerini yürütmek için hem bir tedarik zinciri saldırısından hem de imzalı kötü amaçlı yazılımdan yararlanıyorlar.”
“Yüklerini yalnızca eriştikleri bir avuç bilgisayara yerleştiriyor gibi görünmeleri, bu faaliyetin arkasındaki saldırganlar adına belirli bir planlama ve keşfe işaret ediyor.”