The Hacker News 網(wǎng)站披露，此前從未被記錄的威脅組織正在針對(duì)香港和亞洲其它地區(qū)的實(shí)體組織，展開攻擊活動(dòng)，賽門鐵克威脅獵人網(wǎng)絡(luò)安全小組正在以昆蟲為主題的“Carderbee”綽號(hào)追蹤這一活動(dòng)。

賽門鐵克安全人員知乎此次攻擊活動(dòng)利用一個(gè)名為 EsafeNet Cobra DocGuard Client 的合法軟件的木馬版本，在受害者網(wǎng)絡(luò)上傳播一個(gè)名為 PlugX（又名 Korplug）的已知后門，在與 The Hacker News 共享的一份報(bào)告中，安全人員還指出在攻擊過程中，攻擊者使用了帶有合法微軟證書簽名的惡意軟件。

ESET 在其今年發(fā)布的季度威脅報(bào)告中著重強(qiáng)調(diào)了使用 Cobra DocGuard 客戶端實(shí)施供應(yīng)鏈攻擊的黑客活動(dòng)，還詳細(xì)描述了 2022 年 9 月香港一家未命名的博彩公司因該軟件推送的惡意更新，遭到黑客入侵。

值得一提的是，盡管 Cobra DocGuard 客戶端應(yīng)用程序被安裝在大約 2000 個(gè)端點(diǎn)上，但據(jù)說受 Cobra DocGuard 影響的組織中只有多達(dá) 100 臺(tái)計(jì)算機(jī)受到了感染，這表明攻擊的重點(diǎn)范圍可能有所縮小了。

Syamtec 指出惡意軟件被發(fā)送到受感染計(jì)算機(jī)上的以下位置：csidl_system_drive\program files\esafenet\Cobra DocGuard client\update’，表明涉及 Cobra DocGuard 的供應(yīng)鏈攻擊或惡意配置是攻擊者破壞受影響計(jì)算機(jī)的方式。

在其中一個(gè)攻擊實(shí)例中，上述描述的情況充當(dāng)了部署下載器的渠道，該下載器具有來自微軟的數(shù)字簽名證書，隨后被用于從遠(yuǎn)程服務(wù)器檢索和安裝 PlugX，這種模塊化植入為攻擊者在受感染平臺(tái)上提供了一個(gè)秘密后門，使其可以繼續(xù)安裝其它有效載荷、執(zhí)行命令、捕獲擊鍵、枚舉文件和跟蹤運(yùn)行進(jìn)程等。這些發(fā)現(xiàn)揭示了威脅攻擊者繼續(xù)使用微軟簽名的惡意軟件進(jìn)行攻擊后活動(dòng)并繞過安全保護(hù)。

盡管如此，關(guān)于 Carderbee 的許多細(xì)節(jié)仍未披露，目前還尚不清楚 Carderbee 的總部位于何處，它的最終目標(biāo)是什么，以及它是否與 Lucky Mouse 有任何聯(lián)系。

賽門鐵克強(qiáng)調(diào)針對(duì)香港等地的攻擊活動(dòng)背后的攻擊者是極具耐心且技術(shù)嫻熟的網(wǎng)絡(luò)攻擊者，他們利用供應(yīng)鏈攻擊和簽名惡意軟件來開展活動(dòng)，試圖保持低調(diào)。此外，這些攻擊者似乎只在少數(shù)獲得訪問權(quán)限的計(jì)算機(jī)上部署了有效載荷，這也表明幕后攻擊者進(jìn)行過一定程度的策劃和偵察。

文章來源：https://thehackernews.com/2023/08/carderbee-attacks-hong-kong.html