The Hacker News 網站披露，此前從未被記錄的威脅組織正在針對香港和亞洲其它地區的實體組織，展開攻擊活動，賽門鐵克威脅獵人網絡安全小組正在以昆蟲為主題的“Carderbee”綽號追蹤這一活動。

賽門鐵克安全人員知乎此次攻擊活動利用一個名為 EsafeNet Cobra DocGuard Client 的合法軟件的木馬版本，在受害者網絡上傳播一個名為 PlugX（又名 Korplug）的已知后門，在與 The Hacker News 共享的一份報告中，安全人員還指出在攻擊過程中，攻擊者使用了帶有合法微軟證書簽名的惡意軟件。

ESET 在其今年發布的季度威脅報告中著重強調了使用 Cobra DocGuard 客戶端實施供應鏈攻擊的黑客活動，還詳細描述了 2022 年 9 月香港一家未命名的博彩公司因該軟件推送的惡意更新，遭到黑客入侵。

值得一提的是，盡管 Cobra DocGuard 客戶端應用程序被安裝在大約 2000 個端點上，但據說受 Cobra DocGuard 影響的組織中只有多達 100 臺計算機受到了感染，這表明攻擊的重點范圍可能有所縮小了。

Syamtec 指出惡意軟件被發送到受感染計算機上的以下位置：csidl_system_drive\program files\esafenet\Cobra DocGuard client\update’，表明涉及 Cobra DocGuard 的供應鏈攻擊或惡意配置是攻擊者破壞受影響計算機的方式。

在其中一個攻擊實例中，上述描述的情況充當了部署下載器的渠道，該下載器具有來自微軟的數字簽名證書，隨后被用于從遠程服務器檢索和安裝 PlugX，這種模塊化植入為攻擊者在受感染平臺上提供了一個秘密后門，使其可以繼續安裝其它有效載荷、執行命令、捕獲擊鍵、枚舉文件和跟蹤運行進程等。這些發現揭示了威脅攻擊者繼續使用微軟簽名的惡意軟件進行攻擊后活動并繞過安全保護。

盡管如此，關于 Carderbee 的許多細節仍未披露，目前還尚不清楚 Carderbee 的總部位于何處，它的最終目標是什么，以及它是否與 Lucky Mouse 有任何聯系。

賽門鐵克強調針對香港等地的攻擊活動背后的攻擊者是極具耐心且技術嫻熟的網絡攻擊者，他們利用供應鏈攻擊和簽名惡意軟件來開展活動，試圖保持低調。此外，這些攻擊者似乎只在少數獲得訪問權限的計算機上部署了有效載荷，這也表明幕后攻擊者進行過一定程度的策劃和偵察。

文章來源：https://thehackernews.com/2023/08/carderbee-attacks-hong-kong.html