Hong Kong ve Asya'daki diğer bölgelerdeki saldırgan organizasyonlara, Plugx kötü amaçlı yazılımlarla hedeflerin enfekte etmek için meşru yazılım kullanarak Hong Kong ve Asya'daki diğer bölgelerdeki daha önce tanımlanamayan bir Hacking grubu gözlendi.
Symantec, tedarik zinciri saldırısında kullanılan meşru yazılımın, Çinli geliştirici 'Esafenet' tarafından oluşturulan ve veri şifreleme/şifre çözme için güvenlik uygulamalarında kullanılan Cobra Docguard olduğunu bildiriyor.
Çin devlet destekli tehdit grupları arasında yaygın olarak paylaşılan kötü amaçlı bir aile olan Carderbee'nin kullanılması, bu yeni grubun muhtemelen Çin tehdit ekosistemiyle bağlantılı olduğunu gösteriyor.
Symantec'in araştırmacıları, Nisan 2023'te Carderbee etkinliğinin ilk belirtilerini tespit ettiler. Bununla birlikte, Eylül 2022'deki bir ESET raporu, Cobra Docguard'da ilk uzlaşma noktası olarak kullanılan kötü niyetli bir güncellemeyi vurgulamaktadır, bu nedenle tehdit aktörünün etkinliği Eylül 2021'e kadar çıkabilir.
Symantec, 2.000 bilgisayarda kurulu Cobra Docguard yazılımını gördüklerini, ancak 100'de kötü niyetli aktivite gözlemlediklerini ve bu da tehdit aktörlerinin sadece yüksek değerli hedefleri daha da tehlikeye attığını gösterdiğini söyledi.
Hedeflenen cihazlar için Carderbee, Plugx dahil olmak üzere bir dizi kötü amaçlı yazılım suşunu dağıtmak için Docguard Yazılım Güncelleyici'yi kullandı. Bununla birlikte, tehdit aktörlerinin meşru güncelleyici kullanarak tedarik zinciri saldırısını nasıl yürütebildikleri belirsizliğini koruyor.
Güncellemeler, kötü amaçlı yazılım indiricisi görevi gören "Content.dll" yi yürütmek için dekomprese edilen "cdn.streamamazon [.] Com/update.zip" 'den alınmış bir zip dosyası şeklinde gelir.
İlginç bir şekilde, Plugx kötü amaçlı yazılım indiricisi, Microsoft'tan, özellikle Microsoft Windows Donanım Uyumluluğu Yayıncısı'ndan bir sertifika kullanılarak dijital olarak imzalanır ve kötü amaçlı yazılımları daha zor hale getirir.
Microsoft, Aralık 2022'de Hacker'ların kötü niyetli pencereler sürücülerini ve ortaklık sonrası rootkits'i imzalamak için Microsoft Donanım Geliştirici hesaplarını kötüye kullandığını açıkladı.
Carderbee tarafından itilen kötü niyetli DLL ayrıca, kalıcılık için gerekli olan Windows hizmetlerini ve kayıt defteri girişlerini oluşturmak için kullanılan x64 ve x86 sürücüleri içerir.
Sonunda, AV algılamasından kaçınmak için Plugx, meşru 'svchost.exe' (servis ana bilgisayar) Windows sistem işlemine enjekte edilir.
Symantec tarafından bu saldırılarda görülen Plugx örneği aşağıdaki özelliklere sahiptir:
Symantec, Carderbee'nin kesin hedefleme kapsamının bulanık olduğunu söylüyor. 'Budworm' grubuna bağlantılar muhtemelen toplanan kanıtlara dayanmakla birlikte, ilişkilerinin kapsamı belirsizliğini korumaktadır.
Bir tedarik zinciri saldırısı ve imzalı kötü amaçlı yazılımların kullanılması bu yeni tehdidi çok gizli hale getirir ve kötü amaçlı yazılımların seçici olarak konuşlandırılması üst düzey hazırlık ve keşif gösterir.
Serde Project Gemileri İkili Bilgiler Gerekirken Pust Devs Geri Geri Geri Döndü
Bilgisayar korsanları SMUGX kampanyasında Avrupa hükümet kuruluşlarını hedefleyin
Yeni Hiatusrat kötü amaçlı yazılım saldırıları ABD Savunma Bakanlığı Hedef
Yeni kötü amaçlı yazılım, veri hırsızlığı için iş yönlendiricilerini enfekte eder, gözetim
Google Chrome, yüklü uzantılar kötü amaçlı yazılımdır
Kaynak: Bleeping Computer