Carderbee Attacks: Hong Kong Organizations Targeted via Malicious Software Updates
2023/08/22 TheHackerNews — 未知の脅威クラスターが、香港などを中心とするアジア圏の組織を標的として、ソフトウェア・サプライチェーン攻撃に関与していることが判明した。Broadcom 傘下の Symantec Threat Hunter Team が、Carderbee という名前で、この活動を追跡している。この攻撃は、EsafeNet Cobra DocGuard Client と呼ばれる正規ソフトウェアのトロイの木馬化バージョンを悪用し、被害者のネットワーク上に PlugX (別名 Korplug) という既知のバックドアを配信するものだ。
Symantec は、「この攻撃の過程で攻撃者は、正規の Microsoft 証明書で署名されたマルウェアを使用している」と述べている。
Cobra DocGuard Client を悪用するサプライチェーン攻撃については、ESET が今年の四半期脅威レポートでも取り上げており、2022年9月に香港の無名のギャンブル会社が、このソフトウェアによってプッシュされた、悪意のアップデートを介して侵入されたインシデントの詳細が報告されている。
この企業は、2021年9月にも同じ手口で感染しているという。そのときの攻撃は、Lucky Mouse (別名 APT27/Budworm/Emissary Panda) という中国の脅威アクターが関与したものであり、最終的に PlugX の配信につながったという。
しかし、2023年4月に Symantec が発見したキャンペーンでは、同一犯と断定できるような共通点がほとんど見られない。さらに言うと、中国に関連する各種のハッキング・グループにより、PlugX が使用されているという事実が、その帰属を判定を難しくしている。
Cobra DocGuard クライアント・アプリは、約 2,000台のエンドポイントにインストールされているが、その中には 100台ものコンピュータが感染したというユーザー組織もあるため、標的が絞られていたという状況が推察される。
Symantec は、「この悪意のソフトウェアは、感染したコンピュータ上の特定のロケーション “csidl_system_drive\program files\esafenet\cobra docguard client\update” に配信された。つまり、Cobra DocGuard を取り込んだ悪意のコンフィグレーションにより、攻撃者がサプライチェーン攻撃を意図していたことが示されている」と述べている。
ある例では、Microsoft のデジタル署名付き証明書を持つダウンローダーが、リモート・サーバから PlugX を取得してインストールするために使われていた。
このモジュール式インプラントにより、攻撃者は感染させたプラットフォーム上にバックドアを設置し、さらなる攻撃として、ペイロードの追加インストール/コマンドの実行/キー入力のキャプチャ/ファイルの列挙/実行プロセスの追跡などを行っていた。
今回の調査結果で明らかになったのは、Microsoft 署名のマルウェアを、脅威アクターが継続的に使用することで、感染後のアクティビティを活性化させ、セキュリティ保護を回避していたことだ。
その一方で、Carderbee の拠点や、最終的な目標は、依然として不明である。また、Lucky Mouse との関連性も不明だ。このグループに関する詳細は、依然として未公開または不明のままである。
Symantec は、「この活動の背後で操る攻撃者が、忍耐強く熟練した脅威アクターであることは明らかだ。彼らは、サプライチェーン攻撃と署名入りマルウェアの両方を活用し、水面下で活動を行おうとしている。また、彼らがアクセスしたコンピュータの、ほんの一部だけにペイロードが展開されているように見える。つまり、いまは、偵察の段階であり、なんらかの計画に従って行動しているのだろう」と述べている。
昨日である 2032/08/21 にも、「HiatusRAT マルウェアが復活: 台湾企業と米軍にサイバー攻撃を仕掛けている」という記事をポストしましたが、最近の APT や脅威アクターの手口は洗練され、あらゆるテクノロジーを侵入の足がかりにしています。そして侵入後は、正規のソフトウェアや署名を用いて、検出を困難にしています。よろしければ、カテゴリ APT も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.