0
0
Um grupo emergente de ameaça persistente avançada (APT) apoiado pela China teve como alvo organizações em Hong Kong em um ataque à cadeia de suprimentos que alavancou um software legítimo para implantar o backdoor PlugX/Korplug, descobriram os pesquisadores.
O grupo, que os pesquisadores apelidaram de Carderbee, usou uma versão comprometida do Cobra DocGuard – um aplicativo para proteger, criptografar e descriptografar software produzido pela empresa chinesa EsafeNet – para obter acesso às redes das vítimas, revelou a equipe Symantec Threat Hunter em um blog . postagem publicada hoje.
Durante o ataque, o grupo aproveitou como instalador PlugX um malware assinado com outra entidade legítima, um certificado da Microsoft, em um abuso do Windows Hardware Developer Program da Microsoft, uma vulnerabilidade já conhecida pelo fornecedor de software.
O uso do certificado Microsoft Windows Hardware Compatibility Publisher como parte do ataque torna-o mais desafiador para os defensores, “já que o malware assinado com o que parece ser um certificado legítimo pode ser muito mais difícil de ser detectado pelo software de segurança”, observa Brigid O’Gorman. , analista sênior de inteligência da equipe Symantec Threat Hunter da Broadcom.
No total, os investigadores observaram atividades maliciosas em cerca de 100 computadores em organizações afetadas, no entanto, o software Cobra DocGuard foi instalado em cerca de 2.000 computadores. Isso indica que a APT pode estar empurrando seletivamente cargas úteis para vítimas específicas – uma tática comum em ataques à cadeia de suprimentos, diz O’Gorman.
“Normalmente, o software comprometido é baixado em um grande número de computadores devido à natureza dos ataques à cadeia de suprimentos, mas outras atividades maliciosas só podem ser vistas em uma pequena porcentagem de máquinas comprometidas”, explica ela.
Ator de ameaça ainda identificado
O ataque não é a primeira vez que os agentes da ameaça usam o Cobra DocGuard numa campanha na cadeia de abastecimento, disseram os investigadores. PlugX também é um malware familiar; Os agentes de ameaças chineses, incluindo BlackFly e MustangPanda, já utilizaram o Trojan de acesso remoto (RAT) em vários ataques este ano.
Ataques recentes também usaram uma combinação de Cobra DocGuard e PlugX semelhante à do ataque. Em setembro, a atividade de ameaça atribuída ao Budworm (também conhecido como LuckyMouse, APT27) usou uma atualização maliciosa do Cobra DocGuard para comprometer uma empresa de jogos de azar em Hong Kong e, em seguida, implantou uma nova variante do Korplug/PlugX, de acordo com a ESET .
Na verdade, embora Carderbee partilhe semelhanças com outros adversários conhecidos apoiados pela China , “estas ligações não eram suficientemente fortes para ligar definitivamente esta actividade a um grupo conhecido”, diz O’Gorman.
“O cruzamento de TTPs e infraestrutura entre atores de ameaças que operam fora da China não é incomum, o que pode tornar a atribuição de ataques um desafio”, diz ela. “Korplug é um backdoor conhecido por ser usado por vários APTs, não apenas Budworm, mas também APT41 e outros.”
Os pesquisadores também não têm certeza do motivo do ataque, embora o PlugX/Korplug seja normalmente usado em ataques de espionagem cibernética , que são típicos de agentes de ameaças chineses. “No entanto, com as informações que temos atualmente, não podemos descartar outras possíveis motivações, como financeiras”, acrescenta O’Gorman.
Cadeia de Ataque
O ataque ocorreu durante vários meses em que os pesquisadores observaram a entrega de uma versão maliciosa do Cobra DocGuard no seguinte local em computadores infectados nas organizações vítimas: “csidl_system_drive\program files\esafenet\cobra docguard client\update”. Embora a maioria das vítimas residisse em Hong Kong, o restante estava espalhado pela Ásia.
Os invasores entregaram várias famílias distintas de malware por meio desse método, incluindo o downloader do PlugX/Korplug que tinha um certificado assinado digitalmente da Microsoft.
A amostra de backdoor observada no ataque tinha várias funções; ele poderia executar comandos via cmd, enumerar arquivos, verificar processos em execução, baixar arquivos, abrir portas de firewall e atuar como um keylogger.
Além disso, embora os investigadores saibam que uma versão comprometida do Cobra DocGuard foi usada pelos atacantes para obter acesso às redes das vítimas, eles não sabem “como os atacantes obtiveram acesso ao cliente Cobra DocGuard para usá-lo desta maneira, ” O’Gorman reconhece.
Defesa da Cadeia de Abastecimento
Os ataques à cadeia de fornecimento de software em geral continuam a ser um grande problema para organizações em todos os setores, com vários ataques de alto perfil ocorridos nos últimos 12 meses, diz O’Gorman. Um deles é o ataque MOVEit da gangue de ransomware Cl0p , que explora uma falha em um aplicativo da Progress Software que afetou vários ambientes de clientes e até gerou vários processos judiciais coletivos contra a empresa.
“Os ataques à cadeia de fornecimento de software são uma vantagem para os atacantes, pois podem permitir-lhes infiltrar-se até mesmo em organizações bem protegidas, se conseguirem comprometer o software de um dos parceiros de confiança das organizações”, diz O’Gorman.
Para defender a cadeia de abastecimento, as organizações devem monitorizar o comportamento de todas as atividades num sistema para ajudar a identificar quaisquer padrões indesejados e permitir-lhes bloquear uma aplicação suspeita antes que qualquer dano possa ser causado, diz ela.
“Isso é possível porque o comportamento de uma atualização maliciosa geralmente será diferente daquele do software limpo esperado”, observa O’Gorman.
As organizações também podem reduzir a superfície geral de ataque implementando políticas de confiança zero e segmentação de rede, o que pode impedir que uma atualização maliciosa baixada para uma máquina se espalhe por toda a rede, diz ela.
Os desenvolvedores e fornecedores de software também devem assumir a responsabilidade de proteger a cadeia de fornecimento, garantindo que possam detectar alterações indesejadas no processo de atualização de software e em seus sites, acrescenta O’Gorman.
FONTE: DARKREADING