Полупроводники под прицелом: кто охотится на технологии будущего?

Специалисты компании EclecticIQ обнаружили новую шпионскую кампанию, нацеленную на китайских производителей полупроводниковой продукции, в рамках которой используются документы-приманки, связанные с фирмой TSMC для заражения жертв маяками Cobalt Strike. Шпионские атаки направлены на компании, базирующиеся на Тайване, в Гонконге и Сингапуре.

Хотя отчет EclecticIQ не указывает первоначальный вектор компрометации, предполагается, что цепочка атак начинается с рассылок фишинговых писем, что является типичным методом в кибершпионских операциях. В рамках кампании злоумышленники распространяют загрузчик HyperBro для установки маяка Cobalt Strike на зараженное устройство, обеспечивая удаленный доступ к машине.

Загрузчик использует боковую загрузку DLL (DLL Sideloading) для запуска маяка Cobalt Strike, обходя обнаружение антивирусного ПО и используя легитимный процесс «vfhost.exe» компании CyberArk.

Во втором варианте атаки хакеры используют скомпрометированный веб-сервер Cobra DocGuard (CDG), чтобы загрузить бинарный файл McAfee и затем ещё один маяк Cobalt Strike. В этом случае злоумышленники использовали ранее не задокументированный бэкдор на базе Go, под названием ChargeWeapon.

Исследователи утверждают, что тактики, техники и процедуры (Tactics, Techniques and Procedures, TTPs) кампании имеют совпадения с TTPs китайских групп RedHotel и APT27. Отмечается, что ранее был замечен факт использования серверов Cobra DocGuard китайскими APT-группами для доставки вредоносных программ, что укрепляет версию о происхождении хакеров.