Un gruppo emergente di minacce persistenti avanzate (APT) sostenuto dalla Cina ha preso di mira organizzazioni a Hong Kong in un attacco alla catena di fornitura. Questo attacco ha sfruttato un software legittimo per distribuire il backdoor PlugX/Korplug, come rilevato dai ricercatori.
Il gruppo carderbee e il suo modus operandi
Il gruppo, denominato dai ricercatori “Carderbee”, ha utilizzato una versione compromessa di Cobra DocGuard, un’applicazione prodotta dalla società cinese EsafeNet per proteggere, cifrare e decifrare software, per accedere alle reti delle vittime. Questa rivelazione proviene dal Symantec Threat Hunter Team, che ha pubblicato un post sul proprio blog. Durante l’attacco, il gruppo ha utilizzato come installer del suo malware PlugX un certificato Microsoft legittimo, abusando del Programma per sviluppatori di hardware Windows di Microsoft, una vulnerabilità già nota al produttore di software.
Complessità dell’attacco
L’uso del certificato Microsoft Windows Hardware Compatibility Publisher nell’attacco rende la difesa più complessa. Infatti, come sottolinea Brigid O’Gorman, analista senior di intelligence presso il Symantec Threat Hunter Team di Broadcom, un malware firmato con un certificato che sembra legittimo può essere molto più difficile da rilevare per il software di sicurezza. I ricercatori hanno osservato attività malevole su circa 100 computer nelle organizzazioni colpite, ma il software Cobra DocGuard era installato su circa 2.000 computer. Ciò suggerisce che l’APT potrebbe distribuire payload in modo selettivo a vittime specifiche, una tattica comune negli attacchi alla catena di fornitura.
Attori della minaccia e precedenti attacchi
Non è la prima volta che gli attori delle minacce utilizzano Cobra DocGuard in una campagna di attacco alla catena di fornitura. Il malware PlugX è già noto e attori della minaccia cinesi, tra cui BlackFly e MustangPanda, lo hanno utilizzato in diversi attacchi quest’anno. Gli attacchi recenti hanno anche combinato Cobra DocGuard e PlugX in modo simile all’attacco in questione. Ad esempio, a settembre, un’attività malevola attribuita a Budworm ha utilizzato un aggiornamento malevolo di Cobra DocGuard per compromettere una società di gioco d’azzardo a Hong Kong, per poi distribuire una nuova variante di Korplug/PlugX.
Motivazioni dell’attacco
Sebbene PlugX/Korplug sia tipicamente utilizzato in attacchi di cyber spionaggio, che sono tipici degli attori della minaccia cinesi, con le informazioni attualmente disponibili, non è possibile escludere altre possibili motivazioni, come quelle finanziarie.
Dettagli dell’attacco
L’attacco è avvenuto nel corso di diversi mesi, durante i quali i ricercatori hanno osservato la consegna di una versione malevola di Cobra DocGuard a specifiche posizioni sui computer infetti delle organizzazioni vittime. La maggior parte delle vittime era basata a Hong Kong, mentre il resto era distribuito in tutta l’Asia. Gli aggressori hanno consegnato diverse famiglie di malware tramite questo metodo, tra cui il downloader per PlugX/Korplug che aveva un certificato firmato digitalmente da Microsoft.
Difendere la catena di fornitura
Gli attacchi alla catena di fornitura del software rimangono un problema significativo per le organizzazioni di tutti i settori. Per difendere la catena di fornitura, le organizzazioni dovrebbero monitorare il comportamento di tutte le attività su un sistema per identificare eventuali schemi indesiderati. Inoltre, possono ridurre la loro superficie di attacco implementando politiche di zero fiducia e segmentazione della rete.