Η ομάδα hacking Carderbee χτυπά οργανώσεις του Χονγκ Κονγκ σε επίθεση στην αλυσίδα εφοδιασμού
Εικόνα: Midjourney
Μια προηγουμένως άγνωστη ομάδα hacking APT με το όνομα «Carderbee» παρατηρήθηκε να επιτίθεται σε οργανισμούς στο Χονγκ Κονγκ και σε άλλες περιοχές της Ασίας, χρησιμοποιώντας νόμιμο λογισμικό για να μολύνει
υπολογιστές
στόχων με το κακόβουλο λογισμικό PlugX.
Η Symantec αναφέρει ό
τι
το νόμιμο λογισμικό που χρησιμοποιείται στην επίθεση της αλυσίδας εφοδιασμού είναι το Cobra DocGuard, που δημιουργήθηκε από τον κινέζο προγραμματιστή «EsafeNet» και χρησιμοποιείται σε εφαρμογές ασφαλείας για κρυπτογράφηση/αποκρυπτογράφηση δεδομένων.
Το γεγονός ότι η Carderbee χρησιμοποιεί το PlugX, μια οικογένεια κακόβουλου λογισμικού που μοιράζεται ευρέως μεταξύ των ομάδων απειλών που υποστηρίζονται από την Κίνα, υποδηλώνει ότι αυτή η νέα ομάδα είναι πιθανό να συνδέεται με το κινεζικό οικοσύστημα απειλής.
Επίθεση στην εφοδιαστική αλυσίδα
Οι ερευνητές της Symantec εντόπισαν τα πρώτα σημάδια δραστηριότητας του Carderbee τον Απρίλιο του
2023
. Ωστόσο, μια αναφορά της ESET από τον Σεπτέμβριο του 2022 επισημαίνει ότι μια κακόβουλη ενημέρωση στο Cobra DocGuard χρησιμοποιείται ως αρχικό σημείο συμβιβασμού, επομένως η δραστηριότητα του παράγοντα απειλής μπορεί να χρονολογείται από τον Σεπτέμβριο του 2021.
Η Symantec είπε ότι είδε το λογισμικό Cobra DocGuard να είναι εγκατεστημένο σε 2.000 υπολογιστές, αλλά παρατήρησε κακόβουλη δραστηριότητα μόνο σε 100, υποδεικνύοντας ότι οι φορείς απειλής έθεταν σε κίνδυνο μόνο στόχους υψηλής αξίας.
Για αυτές τις στοχευμένες συσκευές, η Carderbee χρησιμοποίησε το πρόγραμμα ενημέρωσης λογισμικού DocGuard για να αναπτύξει μια σειρά από στελέχη κακόβουλου λογισμικού, συμπεριλαμβανομένου του PlugX. Ωστόσο, παραμένει ασαφές πώς οι παράγοντες της απειλής μπόρεσαν να πραγματοποιήσουν την επίθεση στην αλυσίδα εφοδιασμού χρησιμοποιώντας το νόμιμο πρόγραμμα ενημέρωσης.
Οι ενημερώσεις φτάνουν με τη μορφή αρχείου ZIP που έχει ληφθεί από το “cdn.streamamazon[.]com/
update
.zip,” το οποίο αποσυμπιέζεται για να εκτελέσει το “content.dll”, το οποίο λειτουργεί ως πρόγραμμα λήψης κακόβουλου λογισμικού.
Είναι ενδιαφέρον ότι το πρόγραμμα λήψης για κακόβουλο λογισμικό PlugX είναι ψηφιακά υπογεγραμμένο χρησιμοποιώντας ένα πιστοποιητικό από τη Microsoft, συγκεκριμένα το Microsoft
Windows
Hardware Compatibility Publisher, καθιστώντας τον εντοπισμό του κακόβουλου λογισμικού πιο δύσκολο.
Η Microsoft αποκάλυψε τον Δεκέμβριο του 2022 ότι οι χάκερ έκαναν κατάχρηση λογαριασμών προγραμματιστών υλικού της Microsoft για να υπογράψουν κακόβουλα προγράμματα οδήγησης των Windows και rootkits μετά τον συμβιβασμό.
Το κακόβουλο DLL που προωθείται από την Carderbee περιέχει επίσης προγράμματα οδήγησης x64 και x86, που χρησιμοποιούνται για τη δημιουργία των υπηρεσιών των Windows και των καταχωρίσεων μητρώου που απαιτούνται για διατήρηση.
Τελικά, το PlugX εγχέεται στη νόμιμη διαδικασία συστήματος των Windows ‘svchost.exe’ (Υπηρεσία υποδοχής) για να αποφευχθεί ο εντοπισμός AV.
Το δείγμα PlugX που βλέπει η Symantec σε αυτές τις επιθέσεις διαθέτει τις ακόλουθες δυνατότητες:
- Εκτέλεση εντολών μέσω CMD
- Απαρίθμηση αρχείου
- Έλεγχος διεργασιών που εκτελούνται
- Λήψη αρχείου
- Άνοιγμα θυρών τείχους προστασίας
- Keylogging
Η Symantec λέει ότι το ακριβές πεδίο στόχευσης της Carderbee παραμένει ασαφές. Ενώ οι σύνδεσμοι με την ομάδα «Budworm» πιθανότατα βασίζονται στα συλλεχθέντα στοιχεία, η έκταση της σχέσης τους παραμένει ασαφής.
Η χρήση επίθεσης στην αλυσίδα εφοδιασμού και υπογεγραμμένου κακόβουλου λογισμικού καθιστά αυτή τη νέα απειλή πολύ κρυφή και η επιλεκτική ανάπτυξη κακόβουλου λογισμικού υποδηλώνει προετοιμασία και αναγνώριση υψηλού επιπέδου.
