Broadcom 的賽門鐵克威脅搜尋團隊正在監控並命名 Carderbee 威脅。
據該安全公司稱,這些攻擊利用名為 EsafeNet Cobra DocGuard Client 的合法軟件木馬版本,將名為 PlugX(也稱為 Korplug)的已知後門傳播到受害者的互聯網網絡。
該公司表示:在這次攻擊中,攻擊者使用了具有合法 Microsoft 證書的惡意軟件。”。
ESET 此前在今年的 APT 季度業務報告中強調了使用 Cobra DocGuard 客戶端來防禦供應鏈攻擊,該報告詳細介紹了 2022 年 9 月的違規事件,其中香港一家匿名公司受到了惡意軟件更新的攻擊。
據稱於 2021 年 9 月感染惡意軟件的公司使用了相同的技術。 此次攻擊涉及名為 Lucky Mouse(也稱為 APT27、Budworm 或 Emissary Panda)的威脅代理,該威脅代理導致了 PlugX 的實施。
儘管存在相似之處,但賽門鐵克於 2023 年 4 月發現的最新活動仍不足以證明該活動與上述代理存在聯繫。 此外,PlugX 被許多相關黑客團體共享這一事實使得該屬性變得更加困難。
據信受影響組織中的多達 100 台計算機已感染該病毒。 Cobra DocGuard 客戶端安裝在大約 2,000 個端點上,表明高價值目標集中。 然而,目前對供應鏈進行攻擊的確切方法尚不清楚。
Syamtec 說:“該惡意軟件分佈在受影響的計算機上。 這表明攻擊者正在滲透計算機以攻擊與 Cobra DocGuard 相關的供應鍊或惡意設置。”。
在一個案例中,該漏洞涉及部署帶有 Microsoft 數字簽名證書的下載器,然後使用該下載器從遠程服務器獲取並安裝 PlugX。
植入模塊為攻擊者提供了通往受惡意軟件感染的平台的秘密後門,以便他們可以繼續安裝額外的有效負載、執行命令、記錄擊鍵、列出文件以及監控正在進行的進程等等。
這些發現揭示了威脅行為者如何繼續使用 Microsoft 簽名的惡意軟件來進行利用後活動並規避安全保護。
然而,目前尚不清楚卡德比在哪裡,他的最終目標是什麼,以及他與幸運鼠是否有任何联系。 關於樂隊的許多其他細節目前未知或未知。
賽門鐵克表示:看來這次行動背後的攻擊者很有耐心,技術也很嫻熟。 他們利用供應鏈攻擊和簽名惡意軟件來執行操作,同時保持隱形。 事實上,他們似乎只將有效負載部署到他們有權訪問的少數計算機上,這也表明此活動背後的攻擊者有一定程度的計劃和認可。 ”./.
“Incurable troublemaker. Explorer. Student. Professional alcohol expert. Internet geek.”