Notícias de dispositivos móveis, gadgets, aplicativos Android

Carderbee Hacking Group usa software legítimo em ataque à cadeia de suprimentos

Para um ataque √† cadeia de suprimentos e para plantar o backdoor Korplug (tamb√©m conhecido como PlugX) nos sistemas das v√≠timas visadas, descobriu-se que um grupo APT desconhecido estava usando o ‚ÄúCobra DocGuard‚ÄĚ.

Cobra DocGuard √© um pacote de software leg√≠timo que permite aos usu√°rios gerenciar seus documentos da Lei de Reconcilia√ß√£o Or√ßament√°ria Omnibus Consolidada e foi desenvolvido pela ‚ÄúEsafeNet‚ÄĚ, uma empresa chinesa.

Especialistas em seguran√ßa cibern√©tica da Symantec descobriram que os agentes de amea√ßas por tr√°s desse grupo APT desconhecido, apelidado de ‚ÄúCarderbee‚ÄĚ, estavam usando o certificado leg√≠timo da Microsoft para assinar malware.

Enquanto em um relat√≥rio compartilhado com Not√≠cias sobre seguran√ßa cibern√©ticaos investigadores confirmaram que as v√≠timas que foram alvo deste grupo durante a campanha de ataque √† cadeia de abastecimento eram principalmente de Hong Kong e algumas de outras regi√Ķes da √Āsia.

Cadeia de Ataque

Anteriormente, a equipe do Symantec Threat Hunter descobri um assinado Versão Korplug em abril de 2023, mas naquela época não foi possível confirmar se era trabalho de Budworm (também conhecido como LuckyMouse, APT27).

V√°rios grupos APT, incluindo o APT41 e o Budworm, utilizam a porta dos fundos ‚ÄúKorplug‚ÄĚ, mas os investigadores afirmaram que, no momento, apenas as suas localiza√ß√Ķes geogr√°ficas s√£o identificadas, enquanto os setores industriais visados ‚Äč‚Äčpermanecem desconhecidos.

Durante esta campanha recente, cerca de 100 computadores mostraram atividades maliciosas nas organiza√ß√Ķes afetadas. No entanto, o Cobra DocGuard esteve presente em 2.000 computadores, e este cen√°rio sugere entrega de carga √ļtil direcionada.

O local de entrega da infecção nos computadores aponta para um ataque à cadeia de suprimentos ou uma configuração maliciosa do Cobra DocGuard como método de comprometimento.

  • csidl_system_drive\arquivos de programas\esafenet\cobra dog guard client\update
N√≥s recomendamos:  26 melhores ferramentas de marketing de conte√ļdo para iniciantes em 2023

Ao longo de 2023, v√°rias fam√≠lias de malware surgiram por meio deste m√©todo e, notavelmente, um downloader assinado pela Microsoft instalou o backdoor ‚ÄúKorplug‚ÄĚ no seguinte local, buscando o arquivo ‚Äėupdate.zip‚Äô:-

  • http://cdn.stream-amazon[.]com/update.zip

O arquivo .zip mencionado acima é um arquivo Zlib que descompacta e executa content.dll, atuando como um conta-gotas para drivers x64 e x86 com base no ambiente do sistema.

Capacidades da amostra Korplug

Aqui abaixo, mencionamos todas as habilidades da amostra Korplug detectadas: ‚Äď

  • Execute comandos via cmd
  • Enumerar arquivos
  • Verifique os processos em execu√ß√£o
  • Baixar arquivos
  • Abra portas de firewall
  • Atuar como um keylogger

Além disso, os atores da ameaça por trás desta campanha são altamente qualificados, visto que o cenário completo desta campanha representa o mesmo. Como neste caso, para evitar a detecção, os agentes da ameaça usaram furtivamente o malware assinado legitimamente.

Portanto, a implanta√ß√£o e o direcionamento seletivos da carga √ļtil sugerem completamente um planejamento e reconhecimento cuidadosos.

Indicadores de compromisso

Hashes de arquivo SHA256:

  • 96170614bbd02223dc79cec12afb6b11004c8edb8f3de91f78a6fc54d0844622
  • 19a6a404605be964ab87905d59402e2890460709a1d9038c66b3fbeedc1a2343
  • 1ff7b55dde007b7909f43dd47692f7c171caa2897d663eb9db01001062b1fe9d
  • 2400d8e66c652f4f8a13c99a5ffb67cb5c0510144b30e93122b1809b58614936
  • 2f714aaf9e3e3e03e8168fe5e22ba6d8c1b04cbfa3d37ff389e9f1568a80cad4
  • 47b660bbaacb2a602640b5e2c589a3adc620a0bfc9f0ecfb8d813a803d7b75e2
  • 5467e163621698b38c2ba82372bac110cea4121d7c1cec096958a4d9eaa44be7
  • 7e6d0f14302662f52e4379eb5b69a3749d8597e8f61266aeda74611258972a3d
  • 85fc7628c5c7190f25da7a2c7ee16fc2ad581e1b0b07ba4ac33cff4c6e94c8af
  • 8bd40da84c8fa5f6f8e058ae7e36e1023aca1b9a9c8379704934a077080da76f
  • 8ca135b2f4df6a714b56c1a47ac5baa80a11c6a4fcc1d84a047d77da1628f53f
  • 9e96f70ce312f2638a99cfbd3820e85798c0103c7dc06fe0182523e3bf1e2805
  • 9fc49d9f4b922112c2bafe3f1181de6540d94f901b823e11c008f6d1b2de218c
  • b5159f8ae16deda7aa5d55100a0eac6e5dacd1f6502689b543513a742353d1ea
  • b7b8ea25786f8e82aabe4a4385c6142d9afe03f090d1433d0dc6d4d6ccc27510
  • b84f68ab098ce43f9cb363d0a20a2267e7130078d3d2d8408bfb32bbca95ca37
  • f64267decaa982c63185d92e028f52c31c036e85b2731a6e0bccdb8f7b646e97

Endereços IP remotos:

  • 45.76.179[.]209
  • 104.238.151[.]104

URL:

  • http://111.231.100[.]228:8888/CDGServer3/UpgradeService2
  • http://103.151.28[.]11:8090/CDGServer3/UpgradeService2

Domínios:

  • cdn.stream-amazon[.]com
  • cdn.ofo[.]ac
  • gobay[.]informa√ß√Ķes
  • tjj.active-microsoft[.]com
  • githubassets.akamaixed[.]l√≠quido
  • ms-g9-sites-prod-cdn.akamaixed[.]l√≠quido
  • ms-f7-sites-prod-cdn.akamaixed[.]l√≠quido

Table of Contents