Nově objevená hackerská skupina Carderbee útočí přes dodavatelský řetězec na vybrané organizace v Hong Kongu, informovala ve své zprávě zveřejněné 22. srpna americká kyberbezpečnostní společností Symantec. Carderbee v kampani využívá legitimní softwarový nástroj Cobra DocGuard, přes který v napadených systémech dochází ke spuštění backdooru PlugX. Kromě zneužití legitimního softwaru Cobra DocGuard se hackerům podařilo opatřit backdoor PlugX digitálně podepsaným certifikátem společnosti Microsoft. Digitální certifikáty jsou používané k identifikaci důvěryhodného kódu a certifikát od důvěryhodné certifikační autority výrazně ztěžuje detekci škodlivého kódu.
PlugX je backdoor používaný několika čínskými APT skupinami (např. Mustang Panda nebo APT41), ale Symantec nenašel dostatečnou shodu se známými aktéry, a tak se rozhodl pro označení nové skupiny. Symantec upřesňuje, že většina obětí této kampaně se nachází v Hong Kongu, nicméně kampaň je pozorována i v jiných oblastech Asie.
Postup útoku
Škodlivá aktivita byla zaznamenána na přibližně 100 zařízeních v zasažených organizacích. Nicméně software Cobra DocGuard byl v cílových organizacích nainstalován přibližně na 2 000 počítačích, což naznačuje, že útok byl zaměřený na úzce definovanou skupinu uživatelů.
Malware byl na infikovaných počítačích doručen do složky aktualizace Cobra DocGuard, což naznačuje, že útočník vstoupil jako prostředník do procesu aktualizace, nebo byl schopen přímo kompromitovat konfiguraci aktualizací daného nástroje:
- “csidl_system_drive\program files\esafenet\cobra docguard client\update”
Útočník v průběhu několika měsíců roku 2023 touto metodou nasadil do zařízení obětí několik různých rodin malwaru. V jednom případu měl downloader nasazený útočníkem digitálně podepsaný certifikát od společnosti Microsoft s názvem Microsoft Windows Hardware Compatibility Publisher. Tento downloader byl použit k instalaci backdooru PlugX (známý také jako Korplug). Downloader se pokusil stáhnout soubor s názvem update.zip z následujícího umístění:
- http://cdn.stream-amazon[.]com/update.zip.
Soubor update.zip je archiv komprimovaný ve formátu zlib. Rozbalí se a spustí knihovnu s názvem content.dll. Tento soubor se neukládá na disk, ale funguje jako dropper a obsahuje ovladače x64 a x86, které jsou nasazeny v závislosti na systémovém prostředí (32 nebo 64 bitová verze operačního systému). Dropper vytváří služby a záznamy v registru. Ovladače poté načtou zašifrovaná data z registru, dešifrují je a vloží je do souboru svchost.exe imitující legitimní proces ve Windows.
Carderbee zneužil aktualizační proces softwaru od čínského výrobce
Cobra DocGuard je software vyrobený čínskou společností EsafeNet a zdá se, že je legitimně používán k ochraně, šifrování a dešifrování softwaru. Společnost EsafeNet je vlastněna čínskou firmou NSFOCUS zabývající se informační bezpečností. Nejde o první případ, kdy byl produkt společnosti EsafeNet zneužit k útoku přes legitimní aktualizační proces. Podle zprávy společnosti ESET byla v září 2022 škodlivá aktualizace tohoto softwaru použita ke kompromitaci hazardní společnosti rovněž v Hong Kongu. ESET přiřadil útok čínské skupině APT27 (známá jako LuckyMouse nebo Budworm). Dotyčná hazardní společnost byla stejnou technikou kompromitována již v září 2021.
Čínské zákony a nezodpovězené otázky
Není známo, jakým způsobem Carderbee kompromitovala legitimní aktualizační proces. Čínské zákony ukládají společnostem povinnost spolupracovat na zpravodajské a kontrašpionážní činnosti se státními orgány. Na problém jsme upozorňovali v článku o zneužití čínské komunikační aplikace Tencent QQ. Je tedy možné, že EsafeNet umožnil útočníkovi využít legitimní aktualizace pro šíření malwaru na vybraných cílových zařízeních. V současné době však neexistuje dostatek důkazů pro propojení Carderbee s čínskou vládou a atribuci ztěžuje i absence identifikace napadených entit. Organizace a jednotlivci v Hong Kongu jsou v každém případě častým cílem čínské kyberšpionážní aktivity.
Podle společnosti Symantec je zřejmé, že za touto aktivitou stojí trpěliví a zkušení útočníci. Podle dostupných informací se dá usuzovat, že jde o cílenou kampaň zaměřenou na užší skupinu uživatelů softwaru Cobra Doc Guard, která vyžadovala čas na plánování a průzkum s cílem identifikovat vhodné oběti.
Zdroj: Symantec