Хакер #305. Многошаговые SQL-инъекции
Эксперты заметили, что китайские хакеры атакуют полупроводниковые компании в Восточной Азии с помощью приманок, связанных с тайваньской TSMC. Таким способом злоумышленники доставляют в системы жертв маяки Cobalt Strike.
Аналитики голландской ИБ-компании EclecticIQ сообщают, что первоначальный канал компрометации неизвестен, но, судя по всему, злоумышленники используют направленные фишинговые письма.
Основным инструментом хакеров в этой кампании выступает загрузчик HyperBro, который эксперты связывают с «правительственной» хак-группой Budworm (она же APT27). В данном случае HyperBro прикрывается связанным с TSMC файлом PDF и применяется для установки маяков Cobalt Strike на скомпрометированные устройства, обеспечивая удаленный доступ злоумышленникам.
При этом иногда для развертывания Cobalt Strike используется другой, ранее не документированный загрузчик малвари на основе Go — ChargeWeapon. То есть злоумышленники разработали несколько тактик для проникновения на интересующие их объекты.
ChargeWeapon предназначен для сбора данных о хосте и передает их злоумышленникам в закодированном (Base64) виде. Он использует простые методы уклонения от обнаружения, полагаясь для этого на опенсорсные решения, и способен:
- связываться с удаленным устройством, используя интерфейс командной строки Windows;
- выполнять команды через Windows Management Instrumentation (WMI);
- использовать TCP через HTTP для связи управляющим сервером;
- использовать base64 для обфускации данных во время соединения сервером;
- читать и записывать файлы на зараженном хосте.
Исследователи полагают, что сбор данных проводится злоумышленниками в рамках первичной разведки, для определения наиболее важных целей.
По словам специалистов, тактики злоумышленников и использование HyperBro указывают на явную связь с хак-группой Lucky Mouse (она же APT27, Budworm и Emissary Panda). Однако также были обнаружены совпадения с другим кластером угроз, который эксперты RecordedFuture послеживают под названием RedHotel и связывают с хакерской группировкой Earth Lusca.