Broadcom 的賽門鐵克威脅搜尋團隊正在監控並命名 Carderbee 威脅。

據該安全公司稱，這些攻擊利用名為 EsafeNet Cobra DocGuard Client 的合法軟件木馬版本，將名為 PlugX（也稱為 Korplug）的已知後門傳播到受害者的互聯網網絡。

該公司表示：在這次攻擊中，攻擊者使用了具有合法 Microsoft 證書的惡意軟件。”。

ESET 此前在今年的 APT 季度業務報告中強調了使用 Cobra DocGuard 客戶端來防禦供應鏈攻擊，該報告詳細介紹了 2022 年 9 月的違規事件，其中香港一家匿名公司受到了惡意軟件更新的攻擊。

據稱於 2021 年 9 月感染惡意軟件的公司使用了相同的技術。 此次攻擊涉及名為 Lucky Mouse（也稱為 APT27、Budworm 或 Emissary Panda）的威脅代理，該威脅代理導致了 PlugX 的實施。

儘管存在相似之處，但賽門鐵克於 2023 年 4 月發現的最新活動仍不足以證明該活動與上述代理存在聯繫。 此外，PlugX 被許多相關黑客團體共享這一事實使得該屬性變得更加困難。

據信受影響組織中的多達 100 台計算機已感染該病毒。 Cobra DocGuard 客戶端安裝在大約 2,000 個端點上，表明高價值目標集中。 然而，目前對供應鏈進行攻擊的確切方法尚不清楚。

Syamtec 說：“該惡意軟件分佈在受影響的計算機上。 這表明攻擊者正在滲透計算機以攻擊與 Cobra DocGuard 相關的供應鍊或惡意設置。”。

在一個案例中，該漏洞涉及部署帶有 Microsoft 數字簽名證書的下載器，然後使用該下載器從遠程服務器獲取並安裝 PlugX。

植入模塊為攻擊者提供了通往受惡意軟件感染的平台的秘密後門，以便他們可以繼續安裝額外的有效負載、執行命令、記錄擊鍵、列出文件以及監控正在進行的進程等等。

這些發現揭示了威脅行為者如何繼續使用 Microsoft 簽名的惡意軟件來進行利用後活動並規避安全保護。

然而，目前尚不清楚卡德比在哪裡，他的最終目標是什麼，以及他與幸運鼠是否有任何联系。 關於樂隊的許多其他細節目前未知或未知。

賽門鐵克表示：看來這次行動背後的攻擊者很有耐心，技術也很嫻熟。 他們利用供應鏈攻擊和簽名惡意軟件來執行操作，同時保持隱形。 事實上，他們似乎只將有效負載部署到他們有權訪問的少數計算機上，這也表明此活動背後的攻擊者有一定程度的計劃和認可。 ”./.