Эксперты заметили, что китайские хакеры атакуют полупроводниковые компании в Восточной Азии с помощью приманок, связанных с тайваньской TSMC. Таким способом злоумышленники доставляют в системы жертв маяки Cobalt Strike.
Аналитики голландской ИБ-компании EclecticIQ сообщают, что первоначальный канал компрометации неизвестен, но, судя по всему, злоумышленники используют направленные фишинговые письма.
Основным инструментом хакеров в этой кампании выступает загрузчик HyperBro, который эксперты связывают с «правительственной» хак-группой Budworm (она же APT27). В данном случае HyperBro прикрывается связанным с TSMC файлом PDF и применяется для установки маяков Cobalt Strike на скомпрометированные устройства, обеспечивая удаленный доступ злоумышленникам.
PDF-приманка
При этом иногда для развертывания Cobalt Strike используется другой, ранее не документированный загрузчик малвари на основе Go — ChargeWeapon. То есть злоумышленники разработали несколько тактик для проникновения на интересующие их объекты.
ChargeWeapon предназначен для сбора данных о хосте и передает их злоумышленникам в закодированном (Base64) виде. Он использует простые методы уклонения от обнаружения, полагаясь для этого на опенсорсные решения, и способен:
Исследователи полагают, что сбор данных проводится злоумышленниками в рамках первичной разведки, для определения наиболее важных целей.
По словам специалистов, тактики злоумышленников и использование HyperBro указывают на явную связь с хак-группой Lucky Mouse (она же APT27, Budworm и Emissary Panda). Однако также были обнаружены совпадения с другим кластером угроз, который эксперты RecordedFuture послеживают под названием RedHotel и связывают с хакерской группировкой Earth Lusca.
Обнаруженные исследователями связи
Аналитики голландской ИБ-компании EclecticIQ сообщают, что первоначальный канал компрометации неизвестен, но, судя по всему, злоумышленники используют направленные фишинговые письма.
Основным инструментом хакеров в этой кампании выступает загрузчик HyperBro, который эксперты связывают с «правительственной» хак-группой Budworm (она же APT27). В данном случае HyperBro прикрывается связанным с TSMC файлом PDF и применяется для установки маяков Cobalt Strike на скомпрометированные устройства, обеспечивая удаленный доступ злоумышленникам.
PDF-приманка
При этом иногда для развертывания Cobalt Strike используется другой, ранее не документированный загрузчик малвари на основе Go — ChargeWeapon. То есть злоумышленники разработали несколько тактик для проникновения на интересующие их объекты.
ChargeWeapon предназначен для сбора данных о хосте и передает их злоумышленникам в закодированном (Base64) виде. Он использует простые методы уклонения от обнаружения, полагаясь для этого на опенсорсные решения, и способен:
Исследователи полагают, что сбор данных проводится злоумышленниками в рамках первичной разведки, для определения наиболее важных целей.
По словам специалистов, тактики злоумышленников и использование HyperBro указывают на явную связь с хак-группой Lucky Mouse (она же APT27, Budworm и Emissary Panda). Однако также были обнаружены совпадения с другим кластером угроз, который эксперты RecordedFuture послеживают под названием RedHotel и связывают с хакерской группировкой Earth Lusca.
Обнаруженные исследователями связи
