【突破盲點】神秘APT黑客集團專攻港企　借用合法軟件及證書輕鬆入侵

一個突然冒出的 APT 黑客集團 Carderbee 由今年四月開始出現，主要瞄準香港企業攻擊，暫時證實有近 100 部電腦受到感染。由於他們透過供應鏈攻擊目標企業，並使用有合法驗證證書的惡意更新檔案，因此很容易繞過網絡安全軟件的偵測，並成功在目標電腦上安裝木馬軟件 PlugX。

查看網絡安全公司Symantec專家發表的調查報告，便可理解為何主導這次攻擊的黑客集團會被視為APT（進階持續性威脅）。

黑客集團利用驗證證書繞過偵測

研究員解釋，黑客集團首先利用了一個由中國公司 EsafeNet 開發的文件防護軟件 Cobra DocGuard，作為攻擊的起點。黑客不知通過甚麼方法，令到軟件的更新功能自動從受控的網站下載一個 PlugX 木馬軟件加載器，由於這個加載器具有合法驗證證書（其中一個個案更有 Microsoft 硬件開發員帳戶驗證證書），因此能夠獲安全系統放行，繼續讓惡意軟件引入及安裝 PlugX，並在 Windows 服務及登記清單上創建記錄，讓它能夠持續在系統內被執行。

PlugX 亦會將惡意編碼注入 schost.exe 執行檔，借助它的合法性避開安全工具的監視。完成整個安裝過程後，黑客便擁有在受感染電腦上執行指令、檢查系統執行程序、下載檔案、開啟防火牆連接埠及鍵盤記錄等能力，監視受害企業的一舉一動。

專攻港企　未知攻擊行業及目的

值得一提是研究員雖然在香港及亞太區內發現 2,000 部使用 Cobra DocGuard 的電腦，但現時發現只感染了約 100 部，可見這個黑客集團並非隨機攻擊，而是有選擇性的目標，但由於研究員仍未摸清這 100 部電腦來自哪個行業，因此難以估計對方的目的。而香港企業用戶亦不能再心存僥倖，應立即下載入侵指標（IoC），提升電腦的攔截能力。

Symantec 專家雖然指未能確認這個黑客集團的身份，但其實在報告內亦有提及可能與他們有關聯的 APT 集團。研究員解釋，另一網絡安全公司 ESET 研究員曾在 2022 年 9 月發表調查報告，內容與一間香港的賭博公司有關，他們指有一個名為 Budworm（又稱 APT 27）的 APT 集團曾於 2021 年襲擊該賭博公司，並在一年後以相同手法再次攻擊。雖然這次針對香港企業的攻擊手法與 Budworm 相若，但始終 PlugX 還被多個 APT 集團同時使用，因此難以斷言是由 Budworm 策劃，因而才暫時命名為 Carderbee。

而在這次事件中，Microsoft 簽署證書再被黑客利用亦成為被關注的焦點，例如在 2022 年 12 月，安全機構 Mandiant 已發現一個名為「POORTRY」的惡意驅動程式採用了 Windows 硬體相容驗證簽署；今年 7 月，Trend Micro 又發現一個採用微軟簽署的 Rootkit，可見借 Microsoft 突破安全攔截已成黑客常用手法，企業的安全管理員必須正視問題，學習如何攔截這類攻擊。

資料來源：https://www.bleepingcomputer.com/news/security/carderbee-hacking-group-hits-hong-kong-orgs-in-supply-chain-attack 及 https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/carderbee-software-supply-chain-certificate-abuse

相關文章：【用家注意】WinRAR現高危漏洞　一打開即被黑客入侵