Pesquisadores da equipe Threat Hunter da Symantec, da Broadcom, detectaram um ataque à uma cadeia de suprimentos. De acordo com a equipe, os hackers sequestraram as atualizações de um software de segurança de origem chinesa (Cobra DocGuard). Um grupo de ameaças persistentes avançadas (APT) anteriormente desconhecido usou o Cobra DocGuard para realizar um ataque à uma cadeia de suprimentos com o objetivo de implantar o backdoor Korplug (também conhecido como PlugX) nos computadores das vítimas.
Durante esse ataque, os invasores usaram malware assinado com um certificado legítimo da Microsoft. A maioria das vítimas desta campanha está baseada em Hong Kong, com algumas vítimas baseadas em outras regiões da Ásia.
Sabe-se que o Korplug é usado por vários grupos APT, mas não foi possível vincular essa atividade a um ator de ameaça conhecido, por isso a equipe da Symantec deu um novo nome ao ator por trás dessa atividade: Carderbee.
Atividade maliciosa foi observada em cerca de 100 computadores nas organizações afetadas; no entanto, o software Cobra DocGuard foi instalado em cerca de 2.000 computadores, indicando que o invasor pode estar enviando cargas seletivamente para vítimas específicas.
O software malicioso foi entregue no seguinte local nos computadores infectados, o que indica que um ataque à cadeia de suprimentos ou configuração maliciosa envolvendo o Cobra DocGuard foi a forma como os invasores comprometeram os computadores afetados:
“csidl_system_drive\arquivos de programas\esafenet\cobra docguard client\update”
Durante um período de alguns meses em 2023, várias famílias distintas de malware foram observadas sendo implantadas por meio desse método. Em um caso interessante, um downloader implantado pelos invasores tinha um certificado assinado digitalmente pela Microsoft, chamado Microsoft Windows Hardware Compatibility Publisher. Este downloader foi usado para instalar o backdoor Korplug nos sistemas alvo. O downloader tentou baixar um arquivo chamado update.zip do seguinte local: http://cdn.stream-amazon[.]com/update.zip.
O arquivo update.zip é um arquivo compactado zlib. Ele descompacta e executa um arquivo chamado content.dll. Este arquivo não é salvo no disco. Ele atua como um conta-gotas e contém drivers x64 e x86, que são eliminados dependendo do ambiente do sistema. O conta-gotas cria serviços e entradas de registro. Os drivers descartados leem dados criptografados do registro, descriptografam-nos e injetam-nos no svchost.exe. A carga injetada é o backdoor Korplug.
O uso de malware assinado pela Microsoft é um problema conhecido . A Microsoft reconheceu o problema e disse que drivers certificados pelo Windows Hardware Developer Program (MWHDP) da Microsoft estavam sendo usados maliciosamente em atividades pós-exploração. A empresa disse que investigou o problema e “determinou que a atividade estava limitada ao abuso de várias contas de programas de desenvolvedores e que nenhum comprometimento de conta da Microsoft foi identificado”. O malware assinado com o que parece ser um certificado legítimo pode dificultar muito a detecção do software de segurança.
Os pesquisadores da Symantec continuarão monitorando essa atividade e compartilhamos indicadores de comprometimento abaixo para que nossos colegas da comunidade de segurança também possam fazer o mesmo.
FONTE: HUB INDUSTRIAL BRASILEIRO