Siber casusluk yapan bilgisayar korsanları, Çince konuşan yarı iletken şirketleri, onları kobalt grev işaretleri ile enfekte eden TSMC temalı yemleri ile hedef aldı.
Tayvan Yarıiletken Üretim Şirketi (TSMC), yıllık geliri 73,5 milyar dolar ve dünya çapında 73.000'den fazla çalışanla dünyanın en büyük yarı iletken sözleşme üretim ve tasarım firmasıdır.
Eclecticiq tarafından tespit edilen kampanya, Tayvan, Hong Kong ve Singapur merkezli firmalara odaklanıyor ve gözlemlenen TTP'lerle (taktikler, teknikler ve prosedürler) Çin devlet destekli tehdit gruplarıyla bağlantılı önceki faaliyetlerle benzerlikler taşıyor.
Eklektik raporu ilk uzlaşma kanalını belirtmez, ancak siber casusluk işlemlerinde kullanılan tipik bir yaklaşım olan mızrak aktı e-postaları olduğu varsayılmaktadır.
Bu kampanyada, tehdit aktörleri, tehlikeye atılan cihaza bir kobalt grev işaretini kurmak için Hyperbro yükleyicisini dağıtıyor ve tehdit aktörlerine uzaktan erişim sağlıyor.
Hyperbro piyasaya sürüldüğünde, dikkati yönlendirmek, daha gizli bir uzlaşma elde etmek ve şüpheleri yükseltmekten kaçınmak için TSMC'den gibi davranan bir PDF sergileyecektir.
Yükleyici, bellekte bir kobalt grev işaretini başlatmak için DLL yan yüklemesini kullanır ve Cyberark'ın vfhost.exe'sinden dijital olarak imzalanmış bir ikili kullanır.
XOR şifreli kobalt grev kabuğu kodu içeren 'bin.config' adlı bir dosya şifre çözülür ve AV tespitinden kaçan meşru 'vfhost.exe' işlemine yüklenir.
Bu saldırıda kullanılan kobalt grev implantına sabitlenen komut ve kontrol (C2) sunucu adresi, meşru bir jQuery CDN olarak gizlenir ve güvenlik duvarı savunmalarını atlamasına izin verir.
Saldırının ikinci bir varyantında, bilgisayar korsanları, ek bir McAfee ikili ('McODS.Exe') bırakmak için tehlikeye atılmış bir Cobra Docguard Web sunucusu kullanır ve 'McVSocfg.dll' aracılığıyla DLL yan yüklemesini kullanarak daha fazla kobalt grev kabuğu kodu yükler.
Bu durumda, bilgisayar korsanları, ana kodlu formda C2'ye ana bilgisayar verilerini toplamak ve iletmek için tasarlanmış daha önce belgelenmemiş GO tabanlı bir arka kapı kullandı.
ChargeWeap, "Garble" açık kaynaklı araç aracılığıyla sağlanan basit kötü amaçlı yazılım kaçakçılığı yöntemlerini kullanırken, yetenekleri aşağıdakileri içerir:
Eclectic, gözlemlenen TTP'lerin Çin tehdit grubunun Redhotel ve APT27 (aka Budworm, Luckymouse) gibi operasyonlarıyla kapsamlı benzerlikler gösterdiğini söylüyor.
"Eclecticiq analistleri, analiz edilen hiperbro yükleyici, kötü amaçlı yazılım indiricisinin ve GO Backdoor'un PRC destekli bir ulus-devlet tehdit oyuncusu tarafından büyük olasılıkla işletildiğini ve daha önce bildirilen altyapı, kötü amaçlı yazılım kodu ve benzerliği daha önce bildirildiğine dair yüksek güvenle değerlendirir. Etkinlik kümeleri, "diye açıklıyor eclecticiq.
Symantec ve ESET, daha önce Çin destekli APT'lerin kötü amaçlı yazılım sunumu için Cobra Docguard sunucularından yararlandığını ve Çin bilgisayar korsanlarına atıf hipotezini daha da güçlendirdiğini bildirmişlerdi.
ABD ve Japonya, Çinli hackerların geri kapı sırtını Cisco yönlendiricileri uyarıyor
Asya Hükümeti'ne karşı saldırıda kaçan Gelsemium hacker
Siber casusluk saldırılarında kullanılan yeni sprysocks linux kötü amaçlı yazılım
Microsoft: Gizli Keten Typhoon Hacker'ları algılamadan kaçmak için lolbins kullanıyor
Lazarus Hackers, yeni Lightlesscan kötü amaçlı yazılımlarla havacılık ve uzay firmasını ihlal ediyor
Kaynak: Bleeping Computer