Представьте, ваш антивирус превращается в тайного агента хакеров.
Исследователи из команды Threat Hunter компании Symantec недавно обнаружили атаку на цепочку поставки программного обеспечения, осуществлённую неизвестной группой хакеров. Эту группу специалисты назвали CarderBee. Злоумышленники заразили обновления китайского программного обеспечения под названием Cobra DocGuard, внедрив свой вредоносный код. В результате были скомпрометированы около 100 компьютеров по всей Азии, преимущественно в Гонконге.
Несмотря на определенные признаки, которые связывают CarderBee с предыдущими операциями китайских государственных хакеров, Symantec не связывает эту группу с ранее известными группами, предполагая, что CarderBee может быть новым игроком.
Кроме типичных последствий атаки на цепочку поставки программного обеспечения, хакеры загрузили свои вредоносные программы, известные как Korplug или PlugX. Эти программы часто используются китайскими хакерами и были подписаны легитимной цифровой подписью Microsoft.
Dick O'Brien из Symantec отметил: "Атака демонстрирует высокий профессионализм и указывает на опытного злоумышленника".
Интересно отметить, что Cobra DocGuard, рекламируемый как безопасное программное обеспечение для шифрования файлов, имеет около 2000 пользователей. Однако хакеры выбрали всего около 100 целей для внедрения своего вредоносного ПО. Это может указывать на то, что CarderBee специфически целенаправленно выбирает своих жертв.
Приложение Cobra DocGuard распространяется компанией EsafeNet, принадлежащей фирме по кибербезопасности Nsfocus. Как именно CarderBee смогла заразить приложение компании, пока не ясно.
Отмечается, что это не первый случай использования Cobra DocGuard для распространения вредоносных программ. Ранее компания ESET обнаружила , что вредоносное обновление этого приложения использовалось для взлома игорной компании в Гонконге.
Также стоит добавить, что CarderBee сумели обмануть Microsoft, заставив компанию подписать их вредоносное ПО, что делает его еще менее заметным для антивирусных систем.
Выводы Symantec свидетельствуют о том, что CarderBee заслуживает внимания и отслеживания, особенно учитывая высокий уровень профессионализма и потенциальную опасность для пользователей ПО во всем мире.
Источник: securitylab