Carding
Professional
- Messages
- 2,870
- Reaction score
- 2,494
- Points
- 113
Ранее недокументированный кластер угроз был связан с атакой по цепочке поставок программного обеспечения, нацеленной на организации, расположенные в основном в Гонконге и других регионах Азии.
Команда Symantec Threat Hunter, входящая в состав Broadcom, отслеживает активность под псевдонимом Carderbee, посвященным насекомым.
По данным фирмы по кибербезопасности, в атаках используется троянская версия законного программного обеспечения под названием EsafeNet Cobra DocGuard Client для доставки известного бэкдора, известного как PlugX (он же Korplug), в сети жертв.
"В ходе этой атаки злоумышленники использовали вредоносное ПО, подписанное законным сертификатом Microsoft", - говорится в отчете компании, опубликованном в Hacker News.
Использование клиента Cobra DocGuard для осуществления атаки на цепочку поставок ранее было отмечено ESET в ее ежеквартальном отчете о деятельности APT за этот год, в котором подробно описывается вторжение в сентябре 2022 года, в ходе которого неназванная игорная компания в Гонконге была скомпрометирована с помощью вредоносного обновления, запущенного программным обеспечением.
Говорят, что компания была заражена ранее в сентябре 2021 года с использованием той же техники. Атака, связанная с китайским злоумышленником по имени Lucky Mouse (он же APT27, Budworm или Emissary Panda), в конечном итоге привела к развертыванию PlugX.
Несмотря на эти общие черты, в последней кампании, обнаруженной Symantec в апреле 2023 года, отсутствуют убедительные доказательства, позволяющие связать ее с вышеупомянутым участником. Кроме того, тот факт, что PlugX используется различными хакерскими группами, связанными с Китаем, затрудняет определение авторства.
Сообщается, что было заражено около 100 компьютеров в пострадавших организациях, хотя клиентское приложение Cobra DocGuard было установлено примерно на 2000 конечных точках, что говорит о том, что основное внимание уделялось ценным целям. Точный метод, используемый для проведения атаки на цепочку поставок, на данном этапе неизвестен.
"Вредоносное программное обеспечение было доставлено на зараженных компьютерах в следующее расположение, что указывает на то, что злоумышленники скомпрометировали зараженные компьютеры с помощью атаки по цепочке поставок или вредоносной конфигурации с участием Cobra DocGuard: 'csidl_system_drive\program files\esafenet\cobra docguard client \ update', - сказали в Syamtec.
В одном случае нарушение функционировало как канал для развертывания загрузчика с сертификатом с цифровой подписью от Microsoft, который впоследствии использовался для извлечения и установки PlugX с удаленного сервера.
Модульный имплантат предоставляет злоумышленникам секретный бэкдор на зараженных платформах, чтобы они могли устанавливать дополнительные полезные нагрузки, выполнять команды, перехватывать нажатия клавиш, перечислять файлы и отслеживать запущенные процессы, среди прочего.
Полученные данные проливают свет на продолжающееся использование вредоносных программ, подписанных корпорацией Майкрософт, злоумышленниками для выполнения действий после эксплуатации и обхода мер безопасности.
При этом неясно, где базируется Carderbee, каковы ее конечные цели и имеет ли она какие-либо связи с Lucky Mouse. Многие другие подробности об этой группе остаются нераскрытыми или неизвестными. Но использование PlugX указывает на китайское подключение.
"Кажется очевидным, что злоумышленники, стоящие за этой деятельностью, являются терпеливыми и опытными участниками", - заявили в Symantec. "Они используют как атаку по цепочке поставок, так и подписанное вредоносное ПО для осуществления своей деятельности в попытке остаться незамеченными".
"Тот факт, что они, по-видимому, размещают свою полезную нагрузку только на нескольких компьютерах, к которым они получают доступ, также указывает на определенный объем планирования и разведки со стороны злоумышленников, стоящих за этой деятельностью".
Команда Symantec Threat Hunter, входящая в состав Broadcom, отслеживает активность под псевдонимом Carderbee, посвященным насекомым.
По данным фирмы по кибербезопасности, в атаках используется троянская версия законного программного обеспечения под названием EsafeNet Cobra DocGuard Client для доставки известного бэкдора, известного как PlugX (он же Korplug), в сети жертв.
"В ходе этой атаки злоумышленники использовали вредоносное ПО, подписанное законным сертификатом Microsoft", - говорится в отчете компании, опубликованном в Hacker News.
Использование клиента Cobra DocGuard для осуществления атаки на цепочку поставок ранее было отмечено ESET в ее ежеквартальном отчете о деятельности APT за этот год, в котором подробно описывается вторжение в сентябре 2022 года, в ходе которого неназванная игорная компания в Гонконге была скомпрометирована с помощью вредоносного обновления, запущенного программным обеспечением.
Говорят, что компания была заражена ранее в сентябре 2021 года с использованием той же техники. Атака, связанная с китайским злоумышленником по имени Lucky Mouse (он же APT27, Budworm или Emissary Panda), в конечном итоге привела к развертыванию PlugX.
Несмотря на эти общие черты, в последней кампании, обнаруженной Symantec в апреле 2023 года, отсутствуют убедительные доказательства, позволяющие связать ее с вышеупомянутым участником. Кроме того, тот факт, что PlugX используется различными хакерскими группами, связанными с Китаем, затрудняет определение авторства.
Сообщается, что было заражено около 100 компьютеров в пострадавших организациях, хотя клиентское приложение Cobra DocGuard было установлено примерно на 2000 конечных точках, что говорит о том, что основное внимание уделялось ценным целям. Точный метод, используемый для проведения атаки на цепочку поставок, на данном этапе неизвестен.
"Вредоносное программное обеспечение было доставлено на зараженных компьютерах в следующее расположение, что указывает на то, что злоумышленники скомпрометировали зараженные компьютеры с помощью атаки по цепочке поставок или вредоносной конфигурации с участием Cobra DocGuard: 'csidl_system_drive\program files\esafenet\cobra docguard client \ update', - сказали в Syamtec.
В одном случае нарушение функционировало как канал для развертывания загрузчика с сертификатом с цифровой подписью от Microsoft, который впоследствии использовался для извлечения и установки PlugX с удаленного сервера.
Модульный имплантат предоставляет злоумышленникам секретный бэкдор на зараженных платформах, чтобы они могли устанавливать дополнительные полезные нагрузки, выполнять команды, перехватывать нажатия клавиш, перечислять файлы и отслеживать запущенные процессы, среди прочего.
Полученные данные проливают свет на продолжающееся использование вредоносных программ, подписанных корпорацией Майкрософт, злоумышленниками для выполнения действий после эксплуатации и обхода мер безопасности.
При этом неясно, где базируется Carderbee, каковы ее конечные цели и имеет ли она какие-либо связи с Lucky Mouse. Многие другие подробности об этой группе остаются нераскрытыми или неизвестными. Но использование PlugX указывает на китайское подключение.
"Кажется очевидным, что злоумышленники, стоящие за этой деятельностью, являются терпеливыми и опытными участниками", - заявили в Symantec. "Они используют как атаку по цепочке поставок, так и подписанное вредоносное ПО для осуществления своей деятельности в попытке остаться незамеченными".
"Тот факт, что они, по-видимому, размещают свою полезную нагрузку только на нескольких компьютерах, к которым они получают доступ, также указывает на определенный объем планирования и разведки со стороны злоумышленников, стоящих за этой деятельностью".
