#ParsedReport #ExtractedSchema

Classified images:
dump: 1, code: 3, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: XLoader - это вредоносная программа-вымогатель и ботнет для пользователей macOS, маскирующаяся под офисное приложение OfficeNote и пытающаяся похитить секреты из буфера обмена пользователя. Для защиты от XLoader и подобных угроз ИТ-отделам и службам безопасности следует развернуть надежное стороннее решение безопасности.
-----

XLoader - это вредоносный инфопоисковик и ботнет, существующий с 2015 года. В 2021 году был обнаружен первый вариант этой вредоносной программы для macOS. Он распространялся как Java-программа и был нацелен только на среды с установленной Java. Недавно XLoader был замечен вновь, но на этот раз он был написан на языках программирования C и Objective C и подписан подписью разработчика Apple. Этот новый вариант маскировался под офисное приложение OfficeNote.

Вредоносная программа распространялась через стандартный образ диска Apple и была подписана MAIT JAKHU (54YDV8NU9C). Подпись была отозвана компанией Apple, однако на момент написания статьи XProtect не имел сигнатуры, предотвращающей выполнение вредоносной программы. Он рекламировался на криминальных форумах по сравнительно высокой цене, по сравнению с Windows-вариантами.

При выполнении вредоносного приложения OfficeNote оно выдавало сообщение об ошибке, одновременно сбрасывало полезную нагрузку и устанавливало агент персистентности. Полезная нагрузка помещалась в домашний каталог пользователя и создавала скрытый каталог и минимальное приложение. Кроме того, в папку User's Library был помещен LaunchAgent, чтобы двоичный файл мог отличить свой первый запуск от последующих.

Помимо попытки похитить секреты из буфера обмена пользователя с помощью API Apple, вредоносная программа также пыталась обойти анализ с помощью ручных или автоматизированных решений. Кроме того, он совершил 169 DNS-запросов и 203 HTTP-запроса к подозрительным или вредоносным IP-адресам.

XLoader представляет собой постоянную угрозу для пользователей macOS и предприятий. Маскируясь под офисное приложение, он нацелен на пользователей в рабочей среде и надеется похитить секреты браузера и буфера обмена, которые могут быть использованы или проданы другим угрожающим субъектам для дальнейшей компрометации. Для защиты от XLoader и других подобных угроз ИТ-отделам и службам безопасности следует внедрить надежное стороннее решение безопасности.

#ParsedReport #CompletenessLow
21-08-2023

Malvertisers up their game against researchers

https://www.malwarebytes.com/blog/threat-intelligence/2023/08/malvertisers-up-the-game-against-researchers

Report completeness: Low

Threats:
Cloaking_technique

Geo:
Russia

IOCs:
Domain: 1
IP: 1

Soft:
virtualbox

Algorithms:
base64

Languages:
python, javascript

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Угрожающие организации используют современные методы маскировки, чтобы затруднить обнаружение вредоносной рекламы, что может привести к загрузке вредоносного ПО при нажатии на нее. Компании, занимающиеся разработкой систем безопасности, предпринимают меры по защите клиентов путем сбора оперативной информации и обновления средств защиты.
-----

Вредоносные рекламные объявления становится все труднее распознать благодаря более совершенным методам маскировки, используемым участниками угроз. Такие объявления обычно появляются на страницах результатов поиска поисковых систем и при нажатии на них могут привести к загрузке вредоносного ПО. Доменное имя вредоносной рекламы в данном случае - advnced-lp-scanner . com, зарегистрированное 30 июля 2023 года и размещенное на сервере в России. Возможно, злоумышленник еще не переключил страницу на вредоносную версию, либо время суток не совпадает с тем, когда злоумышленник производит переключение.

Вредоносная реклама имеет Base64-кодированный JavaScript, загруженный перед всем остальным на странице, что может быть затруднительно для исследователей, поскольку многие используемые инструменты написаны на языке Python и не проходят проверку. Кроме того, виртуальные машины, такие как VMware или VirtualBox, также могут быть обнаружены с помощью API WEBGL_debug_renderer_info. Если JavaScript-код проходит проверку, то потенциальная жертва перенаправляется на целевую страницу, с которой можно загрузить полезную нагрузку вредоносной программы.

Угрожающие организации используют более эффективную фильтрацию перед перенаправлением потенциальных жертв, чтобы их вредоносная реклама и инфраструктура дольше оставались в сети. Это не только затрудняет защитникам выявление инцидента и сообщение о нем, но и затягивает принятие мер по его пресечению. На проверку информации платформой может уйти несколько часов, в течение которых люди будут кликать на рекламу и загружать вредоносное ПО. Для защиты клиентов собранная информация передается в продукты, такие как Malwarebytes, и доставляется в виде обновлений для защиты веб-сайтов и вредоносных программ.

#ParsedReport #CompletenessLow
21-08-2023

Crypto Stealing : Clip Bankers on the go

https://labs.k7computing.com/index.php/crypto-stealing-clip-bankers-on-the-go

Report completeness: Low

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1114.002, T1059.005, T1486

IOCs:
File: 1
Hash: 3
Coin: 3

Soft:
telegram

Crypto:
bitcoin

Languages:
golang

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, code: 3, dump: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные программы, связанные с Go-кодом, становятся все более распространенными и используются злоумышленниками для кражи криптовалюты. В этой статье блога рассматриваются детали таких clipbanker.
-----

В последнее время вредоносные программы на языке Go становятся все более распространенными благодаря простоте создания кода, единой кодовой базе, которая может быть использована для создания образцов для различных ОС, и сложности обратного проектирования. В последнее время злоумышленники используют Go-clipbanker для кражи криптовалюты с помощью Telegram-бота. В этой статье мы рассмотрим детали таких clipbanker.

После выполнения вредоносная программа сначала создает мьютекс, чтобы предотвратить повторный запуск на той же машине. Затем он получает путь к папке APPDATA на машине, чтобы создать внутри папки Roaming каталог для копирования вредоносной программы со случайным именем и скрытыми атрибутами файла. В некоторых случаях вредоносная программа копируется непосредственно в папку запуска. После копирования вредоносная программа создает в реестре CurrentVersion\Run для автоматического запуска образца при старте.

После запуска вредоносная программа устанавливает соединение с ботом Telegram, используя токен для аутентификации. Получив от бота код ответа 200, вредоносная программа считывает уникальный Machine ID системы с помощью ключа реестра SOFTWARE\Microsoft\Cryptography для однозначной идентификации жертвы. Кроме того, вредоносная программа считывает все содержимое буфера обмена жертвы, используя модуль с открытым исходным кодом с GitHub.

После считывания содержимого вредоносная программа анализирует его на предмет наличия в нем адресов криптокошельков. Если таковой имеется, то адрес заменяется на адрес криптокошелька злоумышленника, а остальное содержимое остается неизменным. Измененное содержимое записывается обратно в буфер обмена жертвы, после чего вредоносная программа отправляет информацию о жертве злоумышленнику через Telegram-бота. Сообщение состоит из IP-адреса, местоположения вредоносной программы, MachineId, содержимого буфера обмена жертвы, имени пользователя и т.д.

Интересный вебминарчик уже завтра по потрохам драйверов.
Завтра (22.08.2023) в 19:00 МСК
Язык: ENG

Онлайн мастер-класс от Павла Йосифовича, автора известной серии книг "Программирование ядра Windows". Знание внутреннего устройства драйверов Windows играет решающую роль в обратном проектировании вредоносных программ, особенно при работе со сложными и скрытными вредоносными программами.

https://www.youtube.com/watch?v=qtklO16zttE&ab_channel=DMZCON

#rstcloud
Чуток улучшили наш фид, добавив поле TTP.
Для сетевых индикаторов связей не так уж и много, но вот для хэшей - прилично.

#technique

MalDoc in PDF - A method to embed a malicious Word file into a PDF file to avoid detection

https://translated.turbopages.org/proxy_u/ja-en.ru.474c49d7-64e4ea74-612c1f17-74722d776562/https/blogs.jpcert.or.jp/ja/2023/08/maldocinpdf.html

#ParsedReport #CompletenessMedium
22-08-2023

Analysis of APT Attack Cases Targeting Web Services of Korean Corporations

https://asec.ahnlab.com/en/56236

Report completeness: Medium

Actors/Campaigns:
Dalbit
Kimsuky
Lazarus

Threats:
Metasploit_tool
Meterpreter_tool
Kisa
Potato_tool
Ladon_tool
Netcat_tool
Mimikatz_tool
Juicypotato_tool
Rottenpotato_tool
Sweetpotato_tool
Badpotato_tool
Godpotato_tool
Petitpotato_tool
Printnotifypotato_tool
Sharpefspotato_tool
Vmprotect_tool
Printspoofer_tool
Procdump_tool
Powerladon_tool
Dropper/win32.agent.c106924
Malware/win.generic.c4432989
Trojan/win.agent.c5418231
Trojan/win.agent.c5418232
Trojan/win.escalation.r524707
Trojan/win.generic.c4491018
Trojan/win.generic.c5228587
Trojan/win.generic.r529888
Mamut
Trojan/win.userclone.c5192153
Trojan/win32.hdc.c111465
Malware/mdp.systemmanipulation.m1471
Efspotato_tool

Victims:
Korean corporations

Industry:
Telco

Geo:
Chinese, Korea, China, Korean

CVEs:
CVE-2019-1322 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (1803, 1809, 1903)
- microsoft windows server 2016 (1803, 1903)
- microsoft windows server 2019 (-)

CVE-2020-0787 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1709, 1803, 1809, 1903, 1909)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-, 1803, 1903, 1909)
have more...
CVE-2019-1405 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1709, 1803, 1809, 1903)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-, 1803, 1903)
have more...

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1503, T1078, T1546, T1564

IOCs:
Path: 85
File: 10
Command: 2
Registry: 1
Hash: 67

Soft:
jboss, nginx, ms-sql, sy_runas, task scheduler, efspotato, windows defender, sysinternals, runascs

Functions:
EtwpCreateEtwThread

Win API:
CreateFiber

Win Services:
sqlservr

Languages:
java, golang

Links:
https://github.com/k8gege/Ladon
https://github.com/k8gege/PowerLadon
https://github.com/cbwang505/CVE-2020-0787-EXP-ALL-WINDOWS-VERSION/tree/master
https://github.com/apt69/COMahawk
https://github.com/Ne0nd0g/go-shellcode/tree/master

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Устойчивая угроза атакует корейские корпорации, размещая на корпоративных сайтах вредоносную рекламу с использованием различных общедоступных и собственных вредоносных программ и инструментов.
-----

В последние годы корейские корпорации стали объектом постоянных атак, которые заключаются в размещении вредоносной рекламы на корпоративных сайтах. Для проведения атак используется целый ряд вредоносных программ и инструментов, включая веб-оболочки, Potato, уязвимости повышения привилегий PoC, Ladon, PrintSpoofer, COMahawk, CVE-2019-1405, CVE-2019-1322, CVE-2020-0787, IIS LPE, WinRAR, Go-shellcode, Mimikatz, RunasCs, Sy_Runas и UserClone. Многие из этих инструментов находятся в открытом доступе в Интернете, кроме того, злоумышленники разрабатывают собственные вредоносные программы и комплектуют существующие вредоносные программы VMP для обхода обнаружения файлов.

Известно, что на большинстве скомпрометированных систем в качестве одного из идентификационных признаков угроза использует учетную запись под именем tripod. Угроза использовала уязвимости загрузки файлов на корпоративных сайтах для загрузки веб-оболочек и регистрации задач CredentialTask и CertificateTask для отображения несанкционированных рекламных страниц. Кроме того, злоумышленник использовал вредоносное ПО для копирования привилегий, чтобы предоставить права администратора учетной записи Guest, и использовал Mimikatz для сбора учетной информации.

#ParsedReport #CompletenessMedium
22-08-2023

THREAT ANALYSIS: Assemble LockBit 3.0

https://www.cybereason.com/blog/threat-analysis-assemble-lockbit-3

Report completeness: Medium

Actors/Campaigns:
Blackmatter

Threats:
Lockbit
Stealbit
Conti
Vssadmin_tool
Uac_bypass_technique
Bloodystealer
Process_injection_technique
Credential_dumping_technique

Industry:
Government, Military

CVEs:
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)

CVE-2018-13379 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.7, le6.0.4)

CVE-2023-0669 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- fortra goanywhere managed file transfer (<7.1.2)


TTPs:
Tactics: 8
Technics: 18

Soft:
psexec, winscp, macos, papercut, fortinet fortios, indows service

Algorithms:
aes

Links:
https://github.com/stephenfewer/ReflectiveDLLInjection

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chats: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа разработчиков вымогательского ПО LockBit выпустила различные версии и инструменты, а также обновила их, чтобы атаковать несколько операционных систем. На GitHub появилась утечка двоичных файлов сборки LockBit 3.0 и DLL, что позволило защитникам провести анализ, а другим группировкам вымогателей - использовать сборку LockBit. LockBit 3.0 использует шифрование AES и RSA и предоставляет различные возможности по настройке вымогательского ПО LockBit.
-----

LockBit - это группа разработчиков вымогательского ПО, действующая с 2019 года и предоставляющая своим филиалам услугу "вымогательство как услуга" (ransomware-as-a-service). Группа LockBit выпускала различные версии и инструменты, чтобы удовлетворить рыночный спрос. Сборка LockBit 3.0 и бинарные файлы DLL были широко известны только в сентябре 2022 года, когда произошла их утечка на GitHub. Это позволило защитникам провести дальнейший анализ и лучше понять эту программу, а также дало возможность другим группировкам злоупотреблять конструктором LockBit.

Конструктор LockBit предоставляет различные возможности для настройки вымогательского ПО LockBit, такие как параметры конфигурации, изменяющие поведение LockBit, типы бинарных файлов и различные методы обфускации, такие как защита парольной фразой и самоудаление. LockBit 3.0 также использует AES и RSA для гибридного шифрования. Кроме того, LockBit был обновлен для работы с различными операционными системами, такими как Windows, Linux/ESXi и MacOS X.

#ParsedReport #CompletenessLow
22-08-2023

Fake Roblox packages target npm with Luna Grabber information stealing-malware

https://www.reversinglabs.com/blog/fake-roblox-api-packages-luna-grabber-npm

Report completeness: Low

Actors/Campaigns:
Brainleeches

Threats:
Lunagrabber
Luna
Typosquatting_technique
Supply_chain_technique
Turkorat

Victims:
Developers who write scripts to run on the roblox gaming platform, users of the roblox platform

Industry:
Entertainment

IOCs:
File: 2
Hash: 24

Soft:
roblox, node.js roblox, discord, pyinstaller

Languages:
javascript, python

Links:
https://github.com/Smug246/Luna-Grabber
https://github.com/noblox/noblox.js#installation

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Злоумышленники используют метод "опечаток" для того, чтобы обмануть разработчиков и заставить их загрузить вредоносный код из открытых репозиториев, что представляет угрозу для разработчиков, использующих для своих проектов библиотеки с открытым исходным кодом.
-----

С начала августа исследователи ReversingLabs обнаружили более десятка вредоносных пакетов в публичном репозитории npm. Вредоносные пакеты пытались имитировать легитимный пакет noblox.js - Node.js Roblox API wrapper, используемый для написания скриптов, взаимодействующих с игровой платформой Roblox. Вредоносные пакеты содержали код из легитимного пакета noblox.js, но добавляли вредоносные функции для кражи информации.

Эта вредоносная кампания похожа на ту, которая была обнаружена два года назад исследователями Sonatype, когда в состав пакетов включались вредоносные скрипты, используемые после установки, для доставки программ-вымогателей. Нынешняя кампания, обнаруженная ReversingLabs, похожа на эту, но вместо выкупного ПО в качестве полезной нагрузки используется Luna Grabber, вредоносная программа с открытым исходным кодом, предназначенная для кражи информации из локальных веб-браузеров пользователей и приложений Discord. Подобные многоступенчатые вредоносные пакеты чаще всего встречаются на платформах с открытым исходным кодом, таких как Python Package Index (PyPI).

Целью этой кампании были разработчики, пишущие скрипты для игровой платформы Roblox. К счастью, влияние этой кампании было ограничено: всего 963 загрузки трех различных вредоносных пакетов. Суммарный трафик трех вредоносных пакетов составил около 1000 загрузок, при этом наиболее посещаемым оказался noblox.js-vps - 585 загрузок.

Угрозы постоянно таятся в репозиториях открытого кода, поэтому выбор пакета для включения в процесс разработки становится критически важным. Вредоносные субъекты используют метод typo squatting для того, чтобы обмануть разработчиков и заставить их загрузить вредоносный код под видом легитимных пакетов с аналогичными названиями, поэтому разработчикам следует помнить о потенциальных опасностях, связанных с загрузкой пакетов из открытых репозиториев.

#ParsedReport #CompletenessHigh
22-08-2023

Analyzing the new attack activity of the Andariel group

https://asec.ahnlab.com/ko/56256

Report completeness: High

Actors/Campaigns:
Lazarus (motivation: financially_motivated)
Kimsuky

Threats:
Blackremote_rat
Goatrat
Nukesped_rat
Volgmer
Andardoor
Tiger_rat
Watering_hole_technique
Supply_chain_technique
Magicrat
Kisa
Carbon
Dotfuscator_tool
Log4shell_vuln
Mimikatz_tool
Backdoor/win.agent.r562183
Backdoor/win.andargodoor.c5405584
Backdoor/win.durianbeacon.c5472659
Backdoor/win.durianbeacon.c5472662
Backdoor/win.durianbeacon.c5472665
Backdoor/win.goat.c5472627
Backdoor/win.goat.c5472628
Backdoor/win.goat.c5472629
Infostealer/win.agent.c5472631
Trojan/win.agent.c5393280
Trojan/win.agent.c5451550
Trojan/win.andarinodoor.c5382101
Trojan/win.andarinodoor.c5382103
Trojan/win32.rl_mimikatz.r366782
Infostealer/mdp.behavior.m1965

Victims:
Domestic corporations and institutions, universities, transportation, and ict companies

Industry:
Education, Telco, Transport, Energy

Geo:
Korea

TTPs:
Tactics: 1
Technics: 0

IOCs:
Registry: 1
File: 10
Hash: 28
Command: 1
Path: 5
Url: 13
IP: 16
Domain: 4

Soft:
vmware horizon, internet explorer, chrome

Algorithms:
xor

Win Services:
netsvc

Languages:
php, dotnet, rust

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Угрожающая группа Andariel - это группа, которая в основном атакует отечественные корпорации и учреждения и известна тем, что использует фишинг (spear phishing), атаки "водяной ямы" (watering hole) и атаки по цепочке поставок в процессе первоначального проникновения. Недавно было обнаружено, что эта группа распространяет вредоносный код через уязвимые версии Innorix Agent и атакует отечественные компании, занимающиеся производством оборонного и электронного оборудования. Пользователям следует принять меры предосторожности для блокирования заражения этими вредоносными кодами, обновив последние патчи и V3 для программ до последней версии.
-----

Угрозы группы Andariel направлены в основном против отечественных корпораций и учреждений, атакуя такие сферы, как национальная оборона, политические организации, судостроение, энергетика и телекоммуникации.

Известно, что в процессе начального проникновения они используют фишинговые атаки, атаки "водяных ям" и атаки на цепочки поставок.

В феврале 2023 года было обнаружено, что они распространяют вредоносный код среди пользователей уязвимой версии Innorix Agent.

Вредоносные коды, используемые в атаке, в основном относятся к типу backdoor, и ни один из ранее известных типов не существует.

В марте 2023 года группа Andariel атаковала отечественные предприятия оборонной промышленности и электронной техники и распространяла вредоносные коды, предположительно, методом spear phishing.

В атаке использовались TigerRat, NukeSped и AndarLoader.

Вредоносные программы Durian, Goat RAT и AndarLoader были собраны вместе в одно и то же время в одной и той же системе, и бывают случаи, когда C&C-серверы вредоносных кодов backdoor являются общими.

Особенно осторожно пользователи должны относиться к вложениям в электронные письма из неизвестных источников или исполняемым файлам, загружаемым с веб-страниц.

#ParsedReport #CompletenessMedium
22-08-2023

Carderbee: APT Group use Legit Software in Supply Chain Attack Targeting Orgs in Hong Kong

https://symantec-enterprise-blogs.security.com/threat-intelligence/carderbee-software-supply-chain-certificate-abuse

Report completeness: Medium

Actors/Campaigns:
Emissary_panda
Axiom

Threats:
Supply_chain_technique
Carbon
Plugx_rat
Budworm
Luckymouse
Poortry

Victims:
Gambling company in hong kong, other organizations in asia

Geo:
China, Chinese, Asia

IOCs:
File: 3
Url: 3
Hash: 17
IP: 2
Domain: 7

Soft:
moveit, x_trader

Algorithms:
sha256

Platforms:
x86, x64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Carderbee - группа (Advanced Persistent Threat, APT), которая стояла за атакой на цепочки поставок с использованием бэкдора Korplug (также известного как PlugX) на компьютерах жертв. Для подписи вредоносной программы злоумышленники использовали легитимный сертификат Microsoft, а большинство жертв находились в Гонконге. Эта атака привлекла внимание к тому, как важно организациям сохранять бдительность в отношении атак на цепочки поставок программного обеспечения.
-----

Carderbee - недавно выявленная группа угроз (Advanced Persistent Threat, APT), которая стояла за атакой на цепочки поставок, включавшей установку на компьютеры жертв бэкдора Korplug (также известного как PlugX). Эта атака была необычна тем, что злоумышленники использовали вредоносное ПО, подписанное легитимным сертификатом Microsoft. Большинство жертв этой кампании находились в Гонконге, а некоторые - в других регионах Азии. Вредоносное обновление было отправлено через программу Cobra DocGuard Client, разработанную китайской компанией EsafeNet.

Компания EsafeNet принадлежит китайской фирме NSFOCUS, специализирующейся на информационной безопасности. Впервые об этой атаке стало известно после того, как в сентябре 2021 года с помощью аналогичной методики Budworm (также известной как LuckyMouse, или APT27) была взломана игорная компания в Гонконге. В то же время был обнаружен новый вариант вредоносной программы Korplug, в котором использовался магический заголовок ESET, указывающий на то, что он был модифицирован для попытки обойти продукты ESET.

В апреле 2023 года команда Symantec Threat Hunter Team компании Broadcom также выявила вредоносную активность, связанную с тем же ПО Cobra DocGuard. Однако доказательств связи атаки с Budworm обнаружено не было, что позволило отнести ее к новой группе - Carderbee. Около 2 тыс. компьютеров имели установленное ПО Cobra DocGuard, однако только около 100 компьютеров были заражены вредоносным ПО, что позволяет предположить, что злоумышленники нацелились на конкретные жертвы.

Вредоносное ПО доставлялось на компьютеры с помощью загрузчика, подписанного сертификатом Microsoft Windows Hardware Compatibility Publisher. Этот загрузчик пытался загрузить файл с именем update.zip, содержащий драйверы x64 и x86, которые сбрасывались в зависимости от системного окружения. Затем дроппер создавал службы и записи реестра, которые считывали зашифрованные данные из реестра, расшифровывали их и внедряли в файл svchost.exe, что приводило к установке бэкдора Korplug.

Эта атака была особенно сложной, поскольку злоумышленники использовали атаку по цепочке поставок и подписали вредоносное ПО, чтобы остаться незамеченными. Пока неясно, на какие отрасли была направлена эта атака и есть ли какие-либо связи между Carderbee и другими агентами, такими как Budworm. Атаки на цепочки поставок ПО остаются серьезной проблемой, и только за последний год было зафиксировано несколько громких примеров, что свидетельствует о важности бдительности организаций в борьбе с подобными угрозами.