Эксперты заметили, что китайские хакеры атакуют полупроводниковые компании в Восточной Азии с помощью приманок, связанных с тайваньской TSMC. Таким способом злоумышленники доставляют в системы жертв маяки Cobalt Strike.

Аналитики голландской ИБ-компании EclecticIQ сообщают, что первоначальный канал компрометации неизвестен, но, судя по всему, злоумышленники используют направленные фишинговые письма.

Основным инструментом хакеров в этой кампании выступает загрузчик HyperBro, который эксперты связывают с «правительственной» хак-группой  Budworm (она же APT27). В данном случае HyperBro прикрывается связанным с TSMC файлом PDF и применяется для установки маяков Cobalt Strike на скомпрометированные устройства, обеспечивая удаленный доступ злоумышленникам.

PDF-приманка

При этом иногда для развертывания Cobalt Strike используется другой, ранее не документированный загрузчик малвари на основе Go — ChargeWeapon. То есть злоумышленники разработали несколько тактик для проникновения на интересующие их объекты.

ChargeWeapon предназначен для сбора данных о хосте и передает их злоумышленникам в закодированном (Base64) виде. Он использует простые методы уклонения от обнаружения, полагаясь для этого на опенсорсные решения, и способен:

  • связываться с удаленным устройством, используя интерфейс командной строки Windows;
  • выполнять команды через Windows Management Instrumentation (WMI);
  • использовать TCP через HTTP для связи управляющим сервером;
  • использовать base64 для обфускации данных во время соединения сервером;
  • читать и записывать файлы на зараженном хосте.

Исследователи полагают, что сбор данных проводится злоумышленниками в рамках первичной разведки, для определения наиболее важных целей.

По словам специалистов, тактики злоумышленников и использование HyperBro указывают на явную связь с хак-группой Lucky Mouse (она же APT27, Budworm и Emissary Panda). Однако также были обнаружены совпадения с другим кластером угроз, который  эксперты RecordedFuture послеживают под названием RedHotel и связывают с хакерской группировкой Earth Lusca.

Обнаруженные исследователями связи

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии