【突破盲點】神秘APT黑客集團專攻港企 借用合法軟件及證書輕鬆入侵
一個突然冒出的 APT 黑客集團 Carderbee 由今年四月開始出現,主要瞄準香港企業攻擊,暫時證實有近 100 部電腦受到感染。由於他們透過供應鏈攻擊目標企業,並使用有合法驗證證書的惡意更新檔案,因此很容易繞過網絡安全軟件的偵測,並成功在目標電腦上安裝木馬軟件 PlugX。
查看網絡安全公司Symantec專家發表的調查報告,便可理解為何主導這次攻擊的黑客集團會被視為APT(進階持續性威脅)。
黑客集團利用驗證證書繞過偵測
研究員解釋,黑客集團首先利用了一個由中國公司 EsafeNet 開發的文件防護軟件 Cobra DocGuard,作為攻擊的起點。黑客不知通過甚麼方法,令到軟件的更新功能自動從受控的網站下載一個 PlugX 木馬軟件加載器,由於這個加載器具有合法驗證證書(其中一個個案更有 Microsoft 硬件開發員帳戶驗證證書),因此能夠獲安全系統放行,繼續讓惡意軟件引入及安裝 PlugX,並在 Windows 服務及登記清單上創建記錄,讓它能夠持續在系統內被執行。
PlugX 亦會將惡意編碼注入 schost.exe 執行檔,借助它的合法性避開安全工具的監視。完成整個安裝過程後,黑客便擁有在受感染電腦上執行指令、檢查系統執行程序、下載檔案、開啟防火牆連接埠及鍵盤記錄等能力,監視受害企業的一舉一動。
專攻港企 未知攻擊行業及目的
值得一提是研究員雖然在香港及亞太區內發現 2,000 部使用 Cobra DocGuard 的電腦,但現時發現只感染了約 100 部,可見這個黑客集團並非隨機攻擊,而是有選擇性的目標,但由於研究員仍未摸清這 100 部電腦來自哪個行業,因此難以估計對方的目的。而香港企業用戶亦不能再心存僥倖,應立即下載入侵指標(IoC),提升電腦的攔截能力。
Symantec 專家雖然指未能確認這個黑客集團的身份,但其實在報告內亦有提及可能與他們有關聯的 APT 集團。研究員解釋,另一網絡安全公司 ESET 研究員曾在 2022 年 9 月發表調查報告,內容與一間香港的賭博公司有關,他們指有一個名為 Budworm(又稱 APT 27)的 APT 集團曾於 2021 年襲擊該賭博公司,並在一年後以相同手法再次攻擊。雖然這次針對香港企業的攻擊手法與 Budworm 相若,但始終 PlugX 還被多個 APT 集團同時使用,因此難以斷言是由 Budworm 策劃,因而才暫時命名為 Carderbee。
而在這次事件中,Microsoft 簽署證書再被黑客利用亦成為被關注的焦點,例如在 2022 年 12 月,安全機構 Mandiant 已發現一個名為「POORTRY」的惡意驅動程式採用了 Windows 硬體相容驗證簽署;今年 7 月,Trend Micro 又發現一個採用微軟簽署的 Rootkit,可見借 Microsoft 突破安全攔截已成黑客常用手法,企業的安全管理員必須正視問題,學習如何攔截這類攻擊。
資料來源:https://www.bleepingcomputer.com/news/security/carderbee-hacking-group-hits-hong-kong-orgs-in-supply-chain-attack 及 https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/carderbee-software-supply-chain-certificate-abuse
相關文章:【用家注意】WinRAR現高危漏洞 一打開即被黑客入侵