Um cluster de ameaças anteriormente não documentado foi vinculado a um ataque à cadeia de suprimentos de software visando organizações localizadas principalmente em Hong Kong e outras regiões da Ásia.
A equipe de caça a ameaças da Symantec, parte da Broadcom, está rastreando a atividade sob seu nome temático de insetos, Carderbee.
Os ataques, conforme a empresa de cibersegurança, utilizam uma versão trojanizada de um software legítimo chamado EsafeNet Cobra DocGuard Client para entregar uma backdoor conhecida como PlugX (também conhecida como Korplug) nas redes das vítimas.
"No decorrer deste ataque, os invasores usaram malware assinado com um certificado legítimo da Microsoft", disse a empresa em um relatório compartilhado com The Hacker News.
O uso do Cobra DocGuard Client para realizar um ataque à cadeia de suprimentos foi destacado anteriormente pela ESET em seu relatório trimestral de ameaças deste ano, detalhando uma invasão em setembro de 2022 em que uma empresa de jogos de azar não identificada em Hong Kong foi comprometida por meio de uma atualização maliciosa impulsionada pelo software.
A mesma empresa teria sido infectada antes, em setembro de 2021, usando a mesma técnica.
O ataque, vinculado a um ator de ameaça chinês chamado Lucky Mouse (também conhecido como APT27, Budworm ou Emissary Panda), levou ao final à implantação do PlugX.
No entanto, a última campanha identificada pela Symantec em abril de 2023 apresenta poucas semelhanças para vinculá-la definitivamente ao mesmo ator.
Além disso, o fato de o PlugX ser usado por uma variedade de grupos de hackers ligados à China torna a atribuição difícil.
Diz-se que até 100 computadores nas organizações afetadas foram infectados, embora o aplicativo Cobra DocGuard Client tenha sido instalado em aproximadamente 2.000 endpoints, sugerindo um foco mais estreito.
"O software malicioso foi entregue no seguinte local nos computadores infectados, o que indica que um ataque à cadeia de suprimentos ou configuração maliciosa envolvendo o Cobra DocGuard é como os invasores comprometeram os computadores afetados: 'csidl_system_drive\program files\esafenet\cobra docguard client\update'", disse Symantec.
Em uma instância, a violação funcionou como um conduto para implantar um downloader com um certificado digitalmente assinado pela Microsoft, que posteriormente foi usado para recuperar e instalar o PlugX a partir de um servidor remoto.
O implante modular dá aos invasores uma porta dos fundos secreta em plataformas infectadas para que possam continuar a instalar payloads adicionais, executar comandos, capturar teclas digitadas, enumerar arquivos e rastrear processos em execução, entre outros.
As descobertas lançam luz sobre o uso contínuo de malware assinado pela Microsoft por atores de ameaças para conduzir atividades pós-exploração e contornar proteções de segurança.
Dito isso, não está claro onde o Carderbee está baseado ou quais são seus objetivos finais, e se tem alguma ligação com o Lucky Mouse.
Muitos outros detalhes sobre o grupo permanecem não divulgados ou desconhecidos.
"Parece claro que os invasores por trás desta atividade são pacientes e atores habilidosos", disse a Symantec.
"Eles utilizam tanto um ataque à cadeia de suprimentos quanto malware assinado para realizar sua atividade em uma tentativa de ficar sob o radar."
"O fato de eles parecerem implantar sua payload em apenas algumas das máquinas às quais têm acesso também indica uma certa quantidade de planeamento e reconhecimento por parte dos invasores por trás desta atividade."
Achou este artigo interessante? Siga-nos no Twitter e LinkedIn para ler mais conteúdos exclusivos que publicamos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...