「Carderbee」という名前のこれまで正体不明のAPTハッカーグループが、正規のソフトウェアを使用してターゲットのコンピュータをPlugXマルウェアに感染させ、香港やアジアのその他の地域の組織を攻撃していることが観察されました。
シマンテックの報告によると、サプライチェーン攻撃に使用された正規ソフトウェアは、中国の開発会社「EsafeNet」が作成し、データの暗号化/復号化のためのセキュリティアプリケーションに使用されているCobra DocGuardであるという。
Carderbee が中国国家支援の脅威グループ間で広く共有されているマルウェア ファミリであるPlugXを使用しているという事実は、この新しいグループが中国の脅威エコシステムに関連している可能性が高いことを示しています。
サプライチェーン攻撃
シマンテックの研究者は、Carderbee 活動の最初の兆候を 2023 年 4 月に発見しました。しかし、2022 年 9 月の ESET レポートでは、Cobra DocGuard の悪意のあるアップデートが最初の侵害ポイントとして使用されていることが強調されているため、脅威アクターの活動は 2021 年 9 月に遡る可能性があります。
シマンテックは、Cobra DocGuard ソフトウェアが 2,000 台のコンピュータにインストールされているのを確認したが、悪意のあるアクティビティが確認されたのは 100 台のみであり、攻撃者が価値の高いターゲットをさらに侵害しただけであることを示していると述べた。
これらの標的デバイスに対して、Carderbee は DocGuard ソフトウェア アップデーターを使用して、PlugX を含むさまざまなマルウェア株を展開しました。ただし、脅威アクターが正規のアップデーターを使用してどのようにしてサプライ チェーン攻撃を実行できたのかは依然として不明です。
アップデートは、「cdn.streamamazon[.]com/update.zip」から取得された ZIP ファイルの形式で届き、マルウェア ダウンローダーとして機能する「content.dll」を実行するために解凍されます。
興味深いことに、PlugX マルウェアのダウンローダーは Microsoft、特に Microsoft Windows Hardware Compatibility Publisher の証明書を使用してデジタル署名されているため、マルウェアの検出がより困難になります。
Microsoftは2022年12月、ハッカーがMicrosoftハードウェア開発者アカウントを悪用して悪意のあるWindowsドライバーや侵害後のルートキットに署名したことを明らかにした。
Carderbee によってプッシュされた悪意のある DLL には、永続化に必要な Windows サービスとレジストリ エントリの作成に使用される x64 および x86 ドライバーも含まれています。
最終的に、PlugX は正規の「svchost.exe」(サービス ホスト)Windows システム プロセスに挿入され、AV 検出を回避します。
シマンテックがこれらの攻撃で確認した PlugX サンプルには、次の機能が備わっています。
- CMDによるコマンド実行
- ファイルの列挙
- 実行中のプロセスを確認する
- ファイルのダウンロード
- ファイアウォールのポート開放
- キーロギング
シマンテックは、Carderbeeの正確な標的範囲は依然として不明瞭であると述べている。 「Budworm」グループとの関連性は収集された証拠に基づいている可能性がありますが、彼らの関係の程度は不明のままです。
サプライ チェーン攻撃と署名付きマルウェアの使用により、この新しい脅威は非常にステルス性が高く、マルウェアの選択的な展開は高度な準備と偵察を示しています。
Comments