Attaques Carderbee : des organisations de Hong Kong ciblées via des mises à jour de logiciels malveillants
Un groupe de menaces jusqu’alors non documenté a été lié à une attaque de chaîne d’approvisionnement logicielle ciblant des organisations situées principalement à Hong Kong et dans d’autres régions d’Asie.
L’équipe Symantec Threat Hunter, qui fait partie de Broadcom, suit l’activité sous son surnom de Carderbee, sur le thème des insectes.
Les attaques, selon la société de cybersécurité, exploitent une version trojanisée d’un logiciel légitime appelé EsafeNet Cobra DocGuard Client pour fournir une porte dérobée connue sous le nom de PlugX (alias Korplug) sur les réseaux des victimes.
« Au cours de cette attaque, les attaquants ont utilisé des logiciels malveillants signés avec un certificat Microsoft légitime », a déclaré la société dans un rapport partagé avec The Hacker News.
L’utilisation de Cobra DocGuard Client pour mener une attaque contre la chaîne d’approvisionnement a déjà été soulignée par ESET dans son rapport d’activité trimestriel APT de cette année, détaillant une intrusion de septembre 2022 au cours de laquelle une société de jeux d’argent anonyme à Hong Kong a été compromise via une mise à jour malveillante poussée par le logiciel.
L’entreprise aurait déjà été infectée en septembre 2021 en utilisant la même technique. L’attaque, liée à un acteur menaçant chinois nommé Lucky Mouse (alias APT27, Budworm ou Emissary Panda), a finalement conduit au déploiement de PlugX.
Malgré ces points communs, la dernière campagne repérée par Symantec en avril 2023 manque de preuves concluantes pour la lier à l’acteur susmentionné. De plus, le fait que PlugX soit partagé par divers groupes de hackers liés à la Chine rend l’attribution difficile.
Jusqu’à 100 ordinateurs dans les organisations touchées auraient été infectés, bien que l’application Cobra DocGuard Client ait été installée sur environ 2 000 points finaux, ce qui suggère une concentration sur des cibles de grande valeur. La méthode exacte utilisée pour mener l’attaque contre la chaîne d’approvisionnement n’est pas connue à ce stade.
« Le logiciel malveillant a été distribué à l’emplacement suivant sur les ordinateurs infectés, ce qui indique qu’une attaque de la chaîne d’approvisionnement ou une configuration malveillante impliquant Cobra DocGuard est la façon dont les attaquants ont compromis les ordinateurs affectés : ‘csidl_system_drive\program files\esafenet\cobra docguard client\update « , a déclaré Syamtec.
Dans un cas, la violation a servi de canal pour déployer un téléchargeur avec un certificat signé numériquement de Microsoft, qui a ensuite été utilisé pour récupérer et installer PlugX à partir d’un serveur distant.
L’implant modulaire offre aux attaquants une porte dérobée secrète sur les plates-formes infectées afin qu’ils puissent installer des charges utiles supplémentaires, exécuter des commandes, capturer des frappes, énumérer des fichiers et suivre les processus en cours, entre autres.
Les résultats mettent en lumière l’utilisation continue de logiciels malveillants signés par Microsoft par les acteurs malveillants pour mener des activités post-exploitation et contourner les protections de sécurité.
Cela dit, on ne sait pas où est basé Carderbee ni quels sont ses objectifs ultimes, ni s’il a des liens avec Lucky Mouse. De nombreux autres détails sur le groupe restent confidentiels ou inconnus. Mais l’utilisation de PlugX fait allusion à une connexion chinoise.
« Il semble clair que les attaquants derrière cette activité sont des acteurs patients et compétents », a déclaré Symantec. « Ils exploitent à la fois une attaque contre la chaîne d’approvisionnement et des logiciels malveillants signés pour mener à bien leur activité et tenter de rester sous le radar. »
« Le fait qu’ils semblent déployer leur charge utile uniquement sur une poignée d’ordinateurs auxquels ils ont accès indique également un certain niveau de planification et de reconnaissance de la part des attaquants derrière cette activité. »