Carderbee 攻击： 香港实体成为恶意软件的新目标

The 攻港实Hacker News 网站披露 ，此前从未被记录的击香件威胁组织正在针对香港和亚洲其它地区的实体组织，展开攻击活动，体成赛门铁克威胁猎人网络安全小组正在以昆虫为主题的为恶“Carderbee”绰号追踪这一活动。

赛门铁克安全人员知乎此次攻击活动利用一个名为 EsafeNet Cobra DocGuard Client 的意软合法软件的木马版本，在受害者网络上传播一个名为 PlugX（又名 Korplug）的新目已知后门，在与 The 攻港实Hacker News 共享的云计算一份报告中，安全人员还指出在攻击过程中 ，击香件攻击者使用了带有合法微软证书签名的体成恶意软件。

ESET 在其今年发布的为恶季度威胁报告中着重强调了使用 Cobra DocGuard 客户端实施供应链攻击的黑客活动，还详细描述了 2022 年 9 月香港一家未命名的意软博彩公司因该软件推送的恶意更新，遭到黑客入侵。新目

值得一提的模板下载攻港实是，尽管 Cobra DocGuard 客户端应用程序被安装在大约 2000 个端点上 ，击香件但据说受 Cobra DocGuard 影响的体成组织中只有多达 100 台计算机受到了感染 ，这表明攻击的重点范围可能有所缩小了 。

Syamtec 指出恶意软件被发送到受感染计算机上的以下位置：csidl_system_drive\program files\esafenet\Cobra DocGuard client\update’ ，表明涉及 Cobra DocGuard 的供应链攻击或恶意配置是攻击者破坏受影响计算机的服务器租用方式。

在其中一个攻击实例中，上述描述的情况充当了部署下载器的渠道，该下载器具有来自微软的数字签名证书
，随后被用于从远程服务器检索和安装 PlugX，这种模块化植入为攻击者在受感染平台上提供了一个秘密后门 ，使其可以继续安装其它有效载荷 、执行命令、捕获击键、源码库枚举文件和跟踪运行进程等 。这些发现揭示了威胁攻击者继续使用微软签名的恶意软件进行攻击后活动并绕过安全保护。

尽管如此 ，关于 Carderbee 的许多细节仍未披露，目前还尚不清楚 Carderbee 的总部位于何处，它的最终目标是什么，以及它是亿华云否与 Lucky Mouse 有任何联系。

赛门铁克强调针对香港等地的攻击活动背后的攻击者是极具耐心且技术娴熟的网络攻击者
，他们利用供应链攻击和签名恶意软件来开展活动，试图保持低调  。此外，这些攻击者似乎只在少数获得访问权限的计算机上部署了有效载荷 ，这也表明幕后攻击者进行过一定程度的建站模板策划和侦察 。

文章来源 ：https://thehackernews.com/2023/08/carderbee-attacks-hong-kong.html