Un groupe de piratage APT non identifié, nommé « Carderbee », a été observé en train d’attaquer des organisations à Hong Kong et dans d’autres régions d’Asie, en utilisant un logiciel légitime pour infecter les ordinateurs des cibles avec le malware PlugX.
Symantec rapporte que le logiciel légitime utilisé dans l’attaque de la chaîne d’approvisionnement est Cobra DocGuard, créé par le développeur chinois « EsafeNet » et utilisé dans les applications de sécurité pour le cryptage/déchiffrement des données.
Le fait que Carderbee utilise PlugX, une famille de logiciels malveillants largement répandue parmi les groupes de menaces soutenus par l’État chinois, indique que ce nouveau groupe est probablement lié à l’écosystème des menaces chinois.
Une attaque contre la chaîne d’approvisionnement
Les chercheurs de Symantec ont repéré les premiers signes de l’activité de Carderbee en avril 2023. Cependant, un rapport d’ESET de septembre 2022 souligne qu’une mise à jour malveillante de Cobra DocGuard est utilisée comme point de compromis initial, de sorte que l’activité de l’acteur malveillant pourrait remonter à septembre 2021.
Symantec a déclaré avoir vu le logiciel Cobra DocGuard installé sur 2 000 ordinateurs, mais n’avoir observé une activité malveillante que sur 100, ce qui indique que les auteurs de la menace n’ont fait que compromettre davantage des cibles de grande valeur.
Pour ces appareils ciblés, Carderbee a utilisé le programme de mise à jour du logiciel DocGuard pour déployer une gamme de souches de logiciels malveillants, notamment PlugX. Cependant, on ne sait toujours pas comment les auteurs de la menace ont pu mener l’attaque de la chaîne d’approvisionnement à l’aide du programme de mise à jour légitime.
Les mises à jour arrivent sous la forme d’un fichier ZIP extrait de « cdn.streamamazon[.]com/update.zip », qui est décompressé pour exécuter « content.dll », qui agit comme un téléchargeur de logiciels malveillants.
Il est intéressant de noter que le téléchargeur du malware PlugX est signé numériquement à l’aide d’un certificat de Microsoft, en particulier de Microsoft Windows Hardware Compatibility Publisher, ce qui rend la détection du malware plus difficile.
Microsoft a révélé en décembre 2022 que des pirates informatiques avaient abusé des comptes de développeurs de matériel Microsoft pour signer des pilotes Windows malveillants et des rootkits post-compromis.
La DLL malveillante poussée par Carderbee contient également des pilotes x64 et x86, utilisés pour créer les services Windows et les entrées de registre nécessaires à la persistance.
Finalement, PlugX est injecté dans le processus système Windows légitime « svchost.exe » (Service Host) pour échapper à la détection AV.
L’exemple PlugX vu par Symantec dans ces attaques présente les fonctionnalités suivantes :
- Exécution de commandes via CMD
- Énumération des fichiers
- Vérification des processus en cours
- Téléchargement de fichiers
- Ouverture des ports du pare-feu
- Enregistrement de frappe
Symantec affirme que la portée exacte du ciblage de Carderbee reste floue. Même si les liens avec le groupe « Tordeuse des bourgeons » sont probablement basés sur les preuves recueillies, l’étendue de leur relation reste floue.
L’utilisation d’une attaque de chaîne d’approvisionnement et de logiciels malveillants signés rend cette nouvelle menace très furtive, et le déploiement sélectif de logiciels malveillants indique une préparation et une reconnaissance de haut niveau.